大家好
我原本一直以為要解決SQL injection就是把參數都做過一番處理
把可能造成問題的字元字串都清除掉就沒事了
怎知最近收到資安報告有3個程式都說有Blind SQL injection的高風險存在
這3個程式共同點就是都沒有任何參數(也就是$_GET[]是empty、QUERY_STRING是'')
報告中的測試語法是:
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML,
like Gecko) Chrome/41.0.2228.0 Safari/537.21
X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Host: xxx.xxx.xxx.xxx
坦白說....我看不太懂
是指駭客可以用XFF寫入這串語法造成程式無法執行嗎@@
但目前查了一下相關資料似乎大部分
先不論在XFF自行輸入這串語法透過HTTP會造成什麼樣的作用
但如果這是問題來源
我目前規劃的解決方式有幾種，但不曉得到底方向正不正確，所以想請教大家:
方案1:
先檢查 $_SERVER["HTTP_X_FORWARDED_FOR"] 看有沒有亂七八糟的字串
理論上應該都是IP(也就是必須一定是 [數值.數值.數值.數值] 的格式)
如果不是就一律封殺
不曉得會不會有什麼副作用反而連不該封殺的也封殺了?
還有Header裡面除了XFF是不是其他地方也必須有此防範?
方案2:
檢查 QUERY_STRING 看是不是空白或者 $_GET 是不是empty
不是的話也一律封殺
(雖然這樣做好像沒有意義 因為原本這些程式就完全沒有處理參數?)
以上問題還請大家指教和指正
也謝謝大家耐心看完

怎麼不用pdo就好

pdo是不是唯一解啊@@ 哭哭

別的lib如果有prepared statement也可以啦

你是用分身回推文嗎= =

電腦和手機用不同嘛XD 所以不用去處理header的內容分析只要先處理好prepared statements就好了（通過弱掃）？不對啊? 我還是不太懂 像這種寫進Header裡面的語法 跟資料庫的關聯是? 為什麼透過pdo和prepared statements來存取資料庫就同樣能夠處理這樣狀況呢?

就算有prepare statements，弱掃工具會知道?

方案一莫忘IPv6

查看看有沒有把 IP 紀錄到資料庫的程式片段吧網路上取得使用者 IP 的範例十個有九個會依序巡過包含這個 header 的, 如果有又沒擋就像他掃的一般中標啦

有的 就是做了這紀錄然後抓到XFF不少不是ip而是OR XOR跟一些詭異邏輯判斷式

所以這個 header 跟 sql injection 的關聯就確定了吧只要有機會被玩填字遊戲就算是漏洞, 邪惡者總是有辦法出奇不意的塞東西, 特殊條件下 (字集) 也是有機會躲過preg_replace 之類的土製篩選手法.. 所以最理想還是交給 pdo 去處理.. (當然 prepar statement 下錯依然..夜半腦子不清楚更正一下.. 字集的漏洞是針對 pdo 的,regexp 的則是另有一堆, 像是這篇裡的 [0x01]https://www.exploit-db.com/papers/17934