写在前面

众所周知,预编译是解决sql注入的一个很好的方案,但是预编译在现实使用中却有着很多有趣的细节需要研究下。在没有经过实验之前,针对如下问题我也比较模糊,例如:

1、Mysql预编译和模拟预编译有什么不同?哪种方式理论上更加安全呢?

2、PHP中链接数据库Mysqli接口与PDO接口默认采用哪种方式进行预编译?

3、Python中MySQLdb又是默认采用哪种方式进行预编译?

4、程序采用Mysql数据库预编译方式,转义环节是有客户端(PHP、Python、Java)完成的,还是由服务器端(Mysql数据库)完成?

本文将对上述这些问题进行分析

Mysql预编译和模拟预编译

首先介绍下sql预编译和模拟预编译的区别之

sql预编译

以mysql数据库举例:通常情况下,在数据库接收到一条普通的
SQL语句后,首先对其进行语义解析,随后对此条SQL
语句进行优化并制定执行计划并执行;当采用预编译操作时,首先将待执行的SQL
语句中的参数值用占位符替代。当带着占位符的SQL
语句模板被数据库编译、解析后,再通过向占位符绑定参数进行查询操作。

反观Sql注入的根源,是在本应该传递参数数据的地方,
传入了精心构造的sql语句。而经过预编译操作之后,无论后续向模板传入什么参数,这些参数仅仅被当成字符串进行查询处理,因此杜绝了sql注入的产生

接下来看一下预编译在mysql数据库中如何操作

首先,我们可以通过 PREPARE stmt_name FROM preparable_stm
语法来预编译一条sql语句模板,如下图:

接着通过set来绑定参数 ,如下图:

最后通过EXECUTE stmt_name [USING @var_name [, @var_name]...]的语法来选择编译好的stmt_test模板以接收name参数并执行查询,如下图:

通过查看mysql日志可以发现,与执行普通sql语句使用的query命令不同,这里使用了prepare命令与execute命令,见下图

当后续使用同一模板不同参数值(不同的name值)进行查询进行查询时,例如下图:

这里查询name值为”othername”的列,由于这里使用的仍是经过prepaer的stmt_test模板,程序将使用先前存储于缓冲区预编译后的模板进行解析,而不需要再次通过prepare,见下图

上图中可见,预编译可以实现一次编译、多次执行,省去了解析优化等过程。

在实际操作中,当客户端在与mysql数据库通信时,为了表明当前请求消息的类型,会发送命令请求报文,报文格式如下图所示:

通常情况下,如果简单的执行sql语句,数据包中会使用类型值为0x03的COM_QUERY消息报文,见下图

而在使用预编译功能时,则会使用类型值为0x16的COM_STMT_PREPARE进行预编译并使用0x17进行执行,见下图

上图中22对应十六进制的0x16 COM_STMT_PREPARE阶段

上图报文中23对应十六进制的0x17 COM_STMT_EXECUTE阶段

模拟预编译

模拟预编译是防止某些数据库不支持预编译而设置的(如sqllite与低版本mysql)。如果模拟预处理开启,那么客户端程序内部会模拟mysql数据库中的参数绑定这一过程。也就是说,程序会在内部模拟prepare的过程,当执行execute时,再将拼接后的完整SQL语句发送给mysql数据库执行

有如下案例,这里使用PDO接口进行数据库操作

从上图代码中可见,使用prepare预编译sql模板,并通过bindParam进行参数绑定,最终通过execute进行执行,但这是否是真正的sql预编译呢?

我们可以看下mysql日志事实记录,如下

可以看到数据库日志中并没有prepare阶段与execute阶段。反而和执行普通的sql查询一样,简简单单的Query了PDO传递过来的sql语句

这是为什么呢?

正如上文所说:为了防止某些数据库不支持预编译而设置的(如sqllite与低版本mysql),PDO默认使用的是模拟预编译而非mysql数据库预处理(本地预处理)。如果模拟预处理开启,那么客户端程序内部会模拟mysql数据库中的参数绑定这一过程。也就是说,程序会在内部模拟prepare这一过程,当execute方法执行时,再将拼接后的完整SQL语句发送给mysql数据库进行查询

PDO中通过PDO::ATTR_EMULATE_PREPARES参数控制所使用的的预编译模式,默认使用模拟预处理进行操作。详细的可见下图官网给出的说明:

模拟预处理并没有实现SQL模板与参数的分离,但的确可以防止sql注入。根据笔者查阅的资料显示:模拟预处理防止sql注入的本质是在参数绑定过程中对参数值进行转义与过滤,这一点与真正的sql数据库预处理是不一样的。理论上,sql数据库预编译更加安全一些。

接口默认使用方式

在介绍完模拟预编译与sql数据库预编译后,我们来看看哪些接口默认使用模拟预编译,而哪些接口不使用

PHP-PDO

从数据库日志中可见,数据库通过query命令执行了一条简单的sql语句。很显然,默认情况下PDO使用模拟预处理

我们将设置PDO::ATTR_EMULATE_PREPARES为false,见下图

从日志中可见,这里明显有prepare和execute两个过程,显然在将PDO::ATTR_EMULATE_PREPARES设置为false后,使用的是mysql数据库预编译

PHP-Mysqli

从上图可见:很显然这是一个sql数据库预编译过程。这说明mysqli与PDO不同,
mysqli默认使用的是sql数据库预编译而非模拟预编译

Python-MySQLdb

从数据库日志中可见,数据库日志中只有query命令,MySQLdb默认情况下使用模拟预处理

Python-Pymysql

同样,Pymysql也默认使用模拟预处理

Python-Oursql

从日志可见:存在Prepare过程,这是一个sql预编译过程,Oursql使用的是sql数据库预处理。

然而奇怪的是,日志中只有Prepare过程,但是程序以及可以查询到数据。我们查看下流量,见下图

从上图可见,这里其实是有Execute过程的,但为什么数据库日志中不存在execute这条记录呢?

首先我们来看下这条Execute数据包,如下图

可见上图红框处,Flags为Read-only cursor

通常情况下,这里值为Defaults。据笔者猜测,数据库中没有这条执行日志可能与这个字段有关,感兴趣的同学可以自己研究下。

Sql数据库预编译与转义

在查看数据库日志时可以发现:使用mysql数据库预编译时,在execute阶段,传入参数的特殊字符会被进行转义处理。见下图红框处

这个转义,是在对应的客户端中进行的?
还是在mysql数据库接收到参数后,自行进行转义的?

通过抓取流量可知,见下图

客户端传递的参数,并没有进行转义处理。因此可知,转义操作是在mysql数据库上进行的

预编译可以完全杜绝注入攻击吗

使用sql数据库预编译,理论上可以杜绝sql注入攻击,但是也会有例外。

很久之前ThinkPHP5
曾有一个SQL注入漏洞。该漏洞简单来说,就是在预编译阶段即prepare阶段,sql语句的模板中参数名可控,导致的sql注入。具体的可以参见这篇文章

https://www.leavesongs.com/penetration/thinkphp5-in-sqlinjection.html

这次并不是通过参数注入payload,而是在sql模板生成时在参数名处拼接payload,在prepare阶段进行注入攻击。虽然在prepare阶段可以注入payload,但是这样的sql模板会引起mysql数据库的报错从而无法顺利执行到execute阶段。

然而在prepare阶段,仍然是可以执行部分payload的,例如下图demo

最终仍然可以通过报错进行sql注入攻击

可见:prepare阶段的sql模板如果可控,仍然是有注入风险的

参考链接

https://blog.csdn.net/yanghuan313/article/details/70477360

https://www.leavesongs.com/penetration/thinkphp5-in-sqlinjection.html

点击收藏 | 1 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖