php - 动态网站安全问题(PHP+MySQL)

Question

我正在编写一个由 PHP 和 MySQL 提供支持的动态站点(将在 WAMP 服务器上运行)。我目前担心的是网站的安全性，但是它没有保存任何用户输入然后为任何用户(管理员除外)输出的功能，所以我并不是真的担心 XSS。我主要关心的是防止 SQL 注入(inject)攻击和保护管理员登录门户免受彩虹表/暴力破解。

1) 结合使用 mysql_real_escape_string 和 sprintf() 是否可以防止 SQL 注入(inject)？例如，

$thing = mysql_real_escape_string($_REQUEST['thing'])
$query = sprintf("SELECT * FROM table WHERE thing='%s'", $thing);
$result = mysql_query($query);

这足够安全吗？当然，没有系统是绝对安全的，但我知道准备好的语句应该是防止 SQL 注入(inject)的最佳方法。但是，如果我的代码“足够安全”，那么我认为没有理由进行更改。我在某处读到，出于安全原因，mysql_query 默认情况下每次调用只允许一个 MySQL 查询，对吗？如果是这样，我看不出如何对我的代码进行任何注入(inject)，但请让我知道我的逻辑是否存在缺陷。

2) 我正在为该网站编写一个管理门户，以便它的所有者可以在网站上以一种简单、用户友好的方式操作 MySQL 数据库(从一个没有从任何地方链接到的登录 HTML 文件在网站上)。我在这里对安全性的关注是登录过程，它由两个页面组成。首先，收集用户登录信息:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xml:lang="en" xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>
<title>Admin Portal</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="robots" content="noindex, nofollow">
<link rel="stylesheet" type="text/css" href="http://www.anotherdomain.com/my.css">
<script type="text/javascript" src="http://www.anotherdomain.com/my.js"></script>
</head>
<form method="post" action="admin/login.php">
<table align="center">
<tr><th>Admin Login Form</th></tr>
<tr><td>Name</td><td><input type="text" name="Name" size="30" onKeyPress="return aJSFunctionToStopEnterKeyFromWorking(event)"></td></tr>
<tr><td>Password</td><td><input type="password" name="Password" size="30" onKeyPress="return aJSFunctionToStopEnterKeyFromWorking(event)"></td></tr>
<tr><td></td><td><input type="reset" value="Clear Form"> <input type="submit" value="Login"></td></tr>
</table>
</form>

二、实际登录脚本:

<?php
$inputusername = $_POST['Name'];
$inputpassword = $_POST['Password'];

$username = "a username that is not obvious";
$password = "a password that is at least 10 characters long";
$salt = hash('sha512', "a messed up string with weird characters that I wrote");

$hashword = hash('sha512', $password . $salt);
$inputhashword = hash('sha512', $inputpassword . $salt);

if($username == $inputusername && $hashword == $inputhashword) {
    session_start();
    $_SESSION['valid'] = 1;
    header('Location: portal.php');
    exit;
}
else {echo "Invalid username or password";}
?>

然后在登录过程之后，每个页面都会有以下内容以确保管理员已登录:

<?php
session_start();
if(!$_SESSION['valid']) {header('Location: ../admin.html');}
?>
Portal page goes here

由于没有创建新用户，门户网站永远只有一个用户。我只是想知道这种登录方法对彩虹表和暴力破解等攻击的安全性如何？我假设，因为我将哈希字和盐都设置得非常大，所以即使用户名不知何故是已知的，它也应该很安全地免受此类攻击。

我也想知道这是否可以防止 session 劫持，因为这是我听说过的一个术语，但我不太了解......我知道我从来没有扔过 session ID 或任何类似的东西，所以它看起来很安全。

3) 我应该知道/考虑的任何其他安全问题？

我非常感谢在这方面得到的任何帮助!

Answer 1

其他需要考虑的点:

<强>1。你很容易受到暴力攻击

字典攻击会破解您的密码。由于绝大多数用户的密码不安全，这只是时间问题。使用验证码，或记录无效条目。或者在密码不正确时增加一些延迟。

正如 Col. Shrapnel 所说，彩虹表对您来说不是问题，因为当有人拥有一堆哈希值并​​想要破解它们时会用到它们。盐用于获得一些防止彩虹 table 的保护，这不是你的情况。

<强>2。您正在以明文形式发送密码

如果有人嗅探到您的登录信息(例如 wifi)，您就完蛋了。有一些 javascript 库可以使用公钥加密任何东西。如果你不想使用SSL，将登录/密码加密，发送到服务器，使用私钥解密，你更安全。

<强>3。考虑在 MySQL 上使用准备好的语句

使用准备好的语句有助于防止 SQL 注入(inject)，因为即使有恶意输入，它也可以安全运行:

$dbc = new mysqli("mysql_server_ip", "mysqluser", "mysqlpass", "dbname");
$statement = $db_connection->prepare("SELECT * FROM table WHERE thing='?'");
$statement->bind_param("i", $thing);
$statement->execute();

<强>4。不要依赖客户端验证

在您的登录表单上，您依赖于阻止 Enter 键运行的 javascript 函数。如果我禁用 Javascript 怎么办？您可以使用隐藏字段(例如 < input type='hidden' name='FormIsValid' value='0' >)，使用您的函数来防止输入键，并使用 onSubmit() 函数将 FormIsValid 更改为 1 之前发送表格。在您的服务器中，验证 FormIsValid。

<强>5。您很容易受到 session 劫持

您的 session 保存在一个 cookie 上，默认名为 PHPSESSID。如果攻击者可以获得该 cookie，它可以将其发送到您的服务器并窃取您的 session 。为防止这种情况，您可以在 session 中保存用户 IP 地址和用户代理，并比较每次请求时从 session 中收到的值。如果值不匹配，则用户 IP 可能已更改或 session 可能已被劫持。

6.您可能容易受到 session 固定的影响

如上所述，如果有人说服您的管理员访问某个站点，并且该站点向您的站点发送请求并在请求中包含 PHPSESSID，您的站点将创建 session 、处理登录名/密码，并声明凭据是错误的。到现在为止还不错。

稍后，您的管理员登录到您的门户， session 已经存在，登录名和密码匹配， session 已更新。变量 valid 现在是 1。

一旦变量被更新，攻击者就可以完全访问您的门户，因为他知道 PHPSESSID，您的站点不会阻止 session 劫持或 session 固定。

要避免 session 固定和劫持，请参阅#5。