SQLインジェクションによるmysql_query

Question

私は、SQLインジェクションでハッキングされたサイトで作業しています（一見すると、dbエントリのみがクロスサイトスクリプティングで壊れています）。コードを見て見つけた潜在的な脆弱性は、入力がエスケープされないmysql_query呼び出しがたくさんあります。

古き良き：

$query = "SELECT * FROM mytable where name LIKE '%".$_GET['name']."%'"; /*HACK HERE*/ 
mysql_query($query, $connection); 

それでも私たちはそのインジェクションの脆弱性（クールで、私はINSERTまたはUPDATEのようなものを意味する）からクールな何かを行うことができますどのように見つけることができません。私はこのような声明を作成しようとしました：

SELECT * FROM mytable where name LIKE '%' AND WHERE id IN (INSERT INTO secondtable (id,description) VALUES (15, 'Fifteenth description');--%' 

いいえいいえ。私はINSERTには何もしていないと思います。

私は現在、コード内のすべてのユーザーの入力をエスケープしていますが、ハッカーがこのサイトにどのように侵入したかは実際にはわかりません。素晴らしい提案はありますか？任意のPHPがしたので、今

おかげ

Answer 1

$query = "SELECT * FROM mytable where name LIKE '%".$_GET['name']."%'"; 

$_GET['name']="'; DROP TABLE mytable; -- "; 

ので

$query = "SELECT * FROM mytable where name LIKE '%'; DROP TABLE mytable; -- %'"; 

Answer 2

は、それはしばらくしているが、一般的にほとんどのデータアクセスLIBSは、リスクを軽減するためにパラメータ化されたSQLのいくつかの並べ替えを持っています。素早くGoogleがPHPのためにこれを思いついた： http://php.net/manual/en/pdo.prepared-statements.php

もう1人のポスターはすでにSQLインジェクションを行う方法を説明していますので、私はそれに着手しません。

Answer 3

考えられるシナリオ1
弱いパスワード/ハッシュにより、攻撃者は管理者のパスワードを選択できます。
すべての管理者パスワードを変更することをお勧めします。

Answer 4

mysql_queryは複数のクエリをサポートしていないため、'; DROP TABLE mytable; --のような注入は成功しません。

しかし、攻撃者は他のselectステートメントと組み合わせて、パスワード情報などの他の情報を選択することができます。

Answer 5

私は、ハッカーが簡単にクエリを変更できることを確信しています。 mysql_query（）が複数のクエリをサポートしていなくても、それを回避する方法があります。最後に追加されたmysqlのIF文を使うだけで、まったく新しいクエリが実行されます。

Answer 6

使用しているmysqlのバージョンと接続の設定に応じて、mysql_queryはmore than one statementを許可することがあります。

接続の作成方法と、mysql_set_server_optionの使用方法を確認する必要があります。