一、 建立一個安全抽象層

我們并不建議你手工地把前面介紹的技術應用于每一個用戶輸入的實例中，而是強烈推薦你為此創(chuàng)建一個抽象層。一個簡單的抽象是把你的校驗方案加入到一個函數(shù)中，并且針對用戶輸入的每一項調(diào)用這個函數(shù)。當然，我們還可以創(chuàng)建一種更復雜的更高一級的抽象-把一個安全的查詢封裝到一個類中，從而應用于整個應用程序。在網(wǎng)上已經(jīng)存在許多這種現(xiàn)成的免費的類；在本篇中，我們正要討論其中的一些。

進行這種抽象至少存在三個優(yōu)點（而且每一個都會改進安全級別）：

1. 本地化代碼。

2. 使查詢的構造更快且更為可靠-因為這可以把部分工作交由抽象代碼來實現(xiàn)。

3. 當基于安全特征進行構建并且恰當使用時，這將會有效地防止我們前面所討論的各種各樣的注入式攻擊。

二、 改進現(xiàn)有的應用程序

如果你想改進一個現(xiàn)有的應用程序，則使用一個簡單的抽象層是最適當?shù)摹Ｒ粋€能夠簡單地'清理'你所收集的任何用戶輸入內(nèi)容的函數(shù)可能看起來如下所示：

function safe( $string ) {　return ''' . mysql_real_escape_string( $string ) . '''}

【注意】我們已經(jīng)構建了相應于值要求的單引號以及mysql_real_escape_string()函數(shù)。接下來，就可以使用這個函數(shù)來構造一個$query變量，如下所示：

$variety = safe( $_POST['variety'] );$query = ' SELECT * FROM wines WHERE variety=' . $variety;

現(xiàn)在，你的用戶試圖進行一個注入式攻擊-通過輸入下列內(nèi)容作為變量$variety的值：

lagrein' or 1=1;

注意，如果不進行上面的'清理'，則最后的查詢將如下所示（這將導致無法預料的結(jié)果）：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

然而現(xiàn)在，既然用戶的輸入已經(jīng)被清理，那么查詢語句就成為下面這樣一種無危害的形式：

SELECT * FROM wines WHERE variety = 'lagrein' or 1=1;'

既然數(shù)據(jù)庫中不存在與指定的值相應的variety域(這正是惡意用戶所輸入的內(nèi)容-lagrein' or 1=1;)，那么，這個查詢將不能返回任何結(jié)果，并且注入將會失敗。

三、 保護一個新的應用程序

如果你正在創(chuàng)建一個新的應用程序，那么，你可以從頭開始創(chuàng)建一個安全抽象層。如今，PHP 5新改進的對于MySQL的支持（這主要體現(xiàn)在新的mysqli擴展中）為這種安全特征提供了強有力的支持（既有過程性的，也有面向?qū)ο筇卣鞯模Ｄ憧梢詮恼军chttp://php.net/mysqli上獲取有關mysqli的信息。注意，只有當你使用--with-mysqli=path/to/mysql_config選項編譯PHP時，這種mysqli支持才可用。下面是該代碼的一個過程性版本，用于保護一個基于mysqli的查詢：

＜?php　//檢索用戶的輸入　$animalName = $_POST['animalName'];　//連接到數(shù)據(jù)庫　$connect = mysqli_connect( 'localhost'， 'username'， 'password'， 'database' );　if ( !$connect ) exit( 'connection failed: ' . mysqli_connect_error() );　//創(chuàng)建一個查詢語句源　$stmt = mysqli_prepare( $connect,'SELECT intelligence FROM animals WHERE name = ?' );　if ( $stmt ) {//把替代綁定到語句上mysqli_stmt_bind_param( $stmt, 's', $animalName );//執(zhí)行該語句mysqli_stmt_execute( $stmt );//檢索結(jié)果...mysqli_stmt_bind_result( $stmt， $intelligence );// ...并顯示它if ( mysqli_stmt_fetch( $stmt ) ) {　print 'A $animalName has $intelligence intelligence.n';} else {　print 'Sorry, no records found.';}//清除語句源mysqli_stmt_close( $stmt );　}　mysqli_close( $connect );?＞

該mysqli擴展提供了一組函數(shù)用于構造和執(zhí)行查詢。而且，它也非常準確地提供了前面使用我們自己的safe()函數(shù)所實現(xiàn)的功能。

在上面的片斷中，首先收集用戶提交的輸入內(nèi)容并建立數(shù)據(jù)庫連接。然后，使用mysqli_prepare()函數(shù)創(chuàng)建一個查詢語句源-在此命名為$stmt以反映使用它的函數(shù)的名稱。這個函數(shù)使用了兩個參數(shù)：連接資源和一個字符串（每當你使用擴展插入一個值時，'?'標記被插入到其中）。在本例中，你僅有一個這樣的值-動物的名字。

注意，在一個SELECT語句中，放置'?'標記的唯一的有效位置是在值比較部分。這正是為什么你不需要指定使用哪個變量的原因（除了在mysqli_stmt_bind_param()函數(shù)中之外）。在此，你還需要指定它的類型-在本例中，'s'代表字符串。其它可能的類型有：'I'代表整數(shù)，'d'代表雙精度數(shù)(或浮點數(shù))，而'b'代表二進制字符串。

函數(shù)mysqli_stmt_execute()，mysqli_stmt_bind_result()和mysqli_stmt_fetch()負責執(zhí)行查詢并檢索結(jié)果。如果存在檢索結(jié)果，則顯示它們；如果不存在結(jié)果，則顯示一條無害的消息。最后，你需要關閉$stmt資源以及數(shù)據(jù)庫連接-從內(nèi)存中對它們加以釋放。

假定一個合法的用戶輸入了字符串'lemming'，那么這個例程將(假定是數(shù)據(jù)庫中適當?shù)臄?shù)據(jù))輸出消息'A lemming has very low intelligence.'。假定存在一個嘗試性注入-例如'lemming' or 1=1;'，那么這個例程將打印(無害)消息'Sorry, no records found.'。此外，mysqli擴展還提供了一個面向?qū)ο蟀姹镜南嗤睦獭Ｏ旅妫覀兿胝f明這種版本的使用方法。

＜?php　$animalName = $_POST['animalName'];　$mysqli = new mysqli( 'localhost', 'username', 'password', 'database');　if ( !$mysqli ) exit( 'connection failed: ' . mysqli_connect_error() );　$stmt = $mysqli-＞prepare( 'SELECT intelligence　FROM animals WHERE name = ?' );　if ( $stmt ) {$stmt-＞bind_param( 's', $animalName );$stmt-＞execute();$stmt-＞bind_result( $intelligence );if ( $stmt-＞fetch() ) {　print 'A $animalName has $intelligence intelligence.n';} else {　print 'Sorry, no records found.';}$stmt-＞close();　}　$mysqli-＞close();?＞

實際上，這部分代碼是前面描述代碼的復制-它使用了一種面向?qū)ο蟮恼Z法和組織方法，而不是嚴格的過程式代碼。四、 更高級的抽象

如果你使用外部庫PearDB，那么，你可以對應用程序的安全保護模塊進行全面的抽象。

另一方面，使用這個庫存在一個突出的缺點：你只能受限于某些人的思想，而且代碼管理方面也添加了大量的工作。為此，在決定是否使用它們之前，你需要進行仔細地斟酌。如果你決定這樣做，那么，你至少確保它們能夠真正幫助你'清理'你的用戶輸入的內(nèi)容。

五、 測試你的注入式保護能力

正如我們在前面所討論的，確保你的腳本安全的一個重要的部分是對它們進行測試。為此，最好的辦法是你自己創(chuàng)建SQL代碼注入測試。在此，我們提供了一個這種測試的示例。在本例中，我們測試對一個SELECT語句的注入式攻擊。

＜?php//被測試的保護函數(shù)function safe( $string ) {　return ''' . mysql_real_escape_string( $string ) . '''}//連接到數(shù)據(jù)庫/////////////////////////試圖進行注入///////////////////////$exploit = 'lemming' AND 1=1;';//進行清理$safe = safe( $exploit );$query = 'SELECT * FROM animals WHERE name = $safe';$result = mysql_query( $query );//測試是否保護是足夠的if ( $result && mysql_num_rows( $result ) == 1 ) {　exitt 'Protection succeeded:n　exploit $exploit was neutralized.';}else {　exit( 'Protection failed:n　exploit $exploit was able to retrieve all rows.' );}?＞

如果你想創(chuàng)建這樣的一個測試集，并試驗基于不同的SQL命令的各種不同的注入，那么，你將會很快地探測出你的保護策略中的任何漏洞。一旦糾正這些問題，那么，你就可以很有把握-你已經(jīng)建立起真正的注入式攻擊保護機制。

六、 小結(jié)

在本系列文章一開始，我們通過一個SQL注入討論分析了對你的腳本的特定威脅-由不恰當?shù)挠脩糨斎胨隆Ｖ螅覀兠枋隽薙QL注入的工作原理并精確地分析了PHP是怎樣易于被注入的。然后，我們提供了一個實際中的注入示例。之后，我們推薦一系列措施來使試圖的注入攻擊變?yōu)闊o害的-這將分別通過確保使所有提交的值以引號封閉，通過檢查用戶提交值的類型，以及通過過濾掉你的用戶輸入的潛在危險的字符等方法來實現(xiàn)的。最后，我們推薦，你最好對你的校驗例程進行抽象，并針對更改一個現(xiàn)有應用程序提供了腳本示例。然后，我們討論了第三方抽象方案的優(yōu)缺點。

全文完