php - 在没有参数化查询的情况下防止 PHP 中的 SQL 注入(inject)？

Question

我知道这个话题已经被讨论到死了，但我希望社区能提供一些关于我们网络应用程序安全性的反馈。

我们有标准的 LAMP 堆栈网络应用程序，其中包含大量使用 mysqli_query 执行的数据库查询。这些查询目前尚未参数化，但使用 addslashes 对输入进行了一些简单的转义。

我的任务是让这个系统更安全，因为我们很快就会进行渗透测试。上面的权力知道参数化查询是使系统更安全的方法，但是他们不想投入时间和精力来重写应用程序中的所有查询，也不想改变我们必须使它们全部实现的框架正常工作。

所以基本上我是在问我在这里有什么选择？

我对输入运行了 mysqli_real_escape_string。我已经设置了一个过滤器，它不允许像 SELECT、WHERE、UNION 这样的词在其中传递，我想这样会更安全。我知道 mysqli_query 只允许一次运行一个查询，所以那里有一些安全性(从连接更新到选择的末尾)。

这里还有其他选择吗？

编辑:我可能应该补充一点，如果有人能够提供一个攻击示例，该攻击在没有参数化查询的情况下是完全不可避免的，这也会有所帮助。我们有一个如下所示的查询:

SELECT
pl.created
p.LoginName,
pl.username_entered,
pl.ip_address
FROM loginattempts pl
LEFT JOIN people p ON p.PersonnelId = pl.personnel_id
WHERE p.personnelid = $id
AND pl.created > $date1
AND pl.created < $date2

我已经将 UNION 查询替换为 $id UNION SELECT * FROM p WHERE 1 = 1 之类的东西，我可以通过不允许 SELECT/UNION 来防止这种情况，但我确定还有无数我想不到的其他类型的攻击。谁能再推荐几个？

更新

我已经说服了高于我的权力，我们需要将查询重写为参数化语句。他们估计这可能需要几个月的时间，但必须完成。赢。我想？

更新2

不幸的是，我无法说服我们需要将所有查询重写为参数化查询的权力。我们提出的策略是按如下方式测试每个输入:

如果用户提供输入 is_int 则将其转换为原样。实数也一样。对字符数据运行 mysqli_real_escape_string。将查询中的所有参数更改为带引号的字符串，即

WHERE staffName = ' . $blah . '

根据this回答 我们是 100% 安全的，因为我们不会在任何时候更改字符集，并且我们始终使用带有 latin1 字符集的 PHP5.5。

更新 3

此问题已被标记为重复，但在我看来，该问题仍未得到解答。根据第 2 次更新，我们发现一些强烈的意见认为 mysqli_real_escape 字符串函数可以防止攻击并且显然是“100% 安全的”。此后没有提供好的反驳论据(即如果正确使用可以打败它的攻击演示)。

Answer 1

• 检查每个用户输入的数据类型以及适用于正则表达式的地方(黄金法则是:永远不要相信用户输入)
• 使用准备好的语句
• 说真的:准备好的陈述 :)

这需要大量工作，尤其是当您的应用程序状况不佳时(就像您的情况一样)，但这是获得良好安全级别的最佳方式

另一种方法(我建议反对)可以是使用 mod_security 或 WAF 进行虚拟修补来过滤掉注入(inject)尝试，但首先也是最重要的:尝试编写健壮的应用程序(虚拟补丁似乎是一种懒惰的修复方法，但实际上也需要大量的工作和测试，并且应该只在已经很强大的应用程序代码之上使用)