Возможно ли внедрение SQL с помощью mysqli_real_escape_string? - PullRequest
Новая
       25

Возможно ли внедрение SQL с помощью mysqli_real_escape_string?

0 голосов
/ 29 мая 2018

Есть ли способ использовать этот код и войти в систему под определенным именем пользователя (например, Сэмом)?Функция mysqli_real_escape_string () экранирует все символы NUL (ASCII 0), \ n, \ r, \, ', "и Control-Z.

Я пробовал с username = "Sam" и domain = "' union (SELECT 1, 123456) # a", но это не такt work .. 

$user   = $_POST['user'];
$domain = $_POST['domain'];
$pwd    = $_POST['pwd'];

function login($username, $domain, $password) {
    global $vuln_db;
    $starttime = microtime(true);
    $username = mysqli_real_escape_string($vuln_db, trim($username));
    $domain   = mysqli_real_escape_string($vuln_db, trim($domain));
    $password = trim($password);
    if (empty($password) || empty($username) || empty($domain)) {
        return FALSE;
    }
    // We store the password in plaintext to keep the homework's code short.
    // For anything even remotely real, use a proper password storage scheme.
    $query = "SELECT user_id, password FROM users WHERE username = '$username' AND domain LIKE '$domain'";
    $result = mysqli_query($vuln_db, $query) or die(mysqli_error($vuln_db));
    if($result) {
        $row = mysqli_fetch_row($result);
        if($row) {
            $the_password = trim($row[1]);
            for($i = 0; $i < strlen($the_password); $i++) {
                /* Bruteforce is not the way! */
                usleep(100000);
                if($password[$i] != $the_password[$i]) {
                    $endtime = microtime(true);
                    return FALSE;
                }
            }
            return TRUE;
        } else {
            return FALSE;
        }
    }
}

Могу ли я получить истинное значение из этой функции с помощью SQL-инъекции или других методов?

1 Ответ

0 голосов
/ 29 мая 2018

Конкретный показанный вами случай защищен с помощью mysqli_real_escape_string().Если ваш набор символов gbk или sjis , что я не могу сказать, потому что я не знаю, как вы подключились к базе данных.

Экранирование имеет ряд крайних случаев, когда оно не работает, как описано в ответах на SQL-инъекцию, которая обходит mysql_real_escape_string () .Нужно тщательно продумать и протестировать, чтобы убедиться, что вы не реализуете код, уязвимый в одном из этих крайних случаев.Это размышление и тестирование заставляют писать код дольше.

Вот почему в настоящее время рекомендуется использовать параметры запроса вместо экранирования строк. 

$query = "SELECT user_id, password FROM users WHERE username = ? AND domain LIKE ?";
$stmt = mysqli_prepare($vuln_db, $query) or die(mysqli_error($vuln_db));
$stmt->bind_param('ss', $username, $domain);
$stmt->execute() or die(mysqli_error($vuln_db));
$result = $stmt->get_result() or die(mysqli_error($vuln_db));
  • Параметры запроса делают еголегче писать код и легче читать код
  • Параметры запроса не имеют крайних случаев уязвимости, которые делает экранирование строк

PS: Это не связано с вашим вопросомо побеге, но вы также должны научиться использовать password_hash () и password_verify () вместо хранения паролей в виде простого текста.

...