MySQL インジェクションの目的は、Web サイトのデータベースを乗っ取り、情報を盗むことです。 MySQL などの一般的なオープン ソース データベースは、パスワード、個人情報、管理情報などの重要な情報を保存するために、多くの Web サイト開発者によって使用されてきました。
MySQL は、最も人気のあるサーバーサイド スクリプト言語である PHP とともに使用されるため、人気があります。さらに、PHP は、インターネットを支配する Linux-Apache サーバーの主要言語です。したがって、これはハッカーが Windows スパイウェアと同じように PHP を簡単に悪用できることを意味します。
ハッカーは、セキュリティで保護されていない Web フォームに大量の悪意のあるコードを入力します (ドロップダウン メニュー、検索ボックス、連絡先フォーム、クエリ フォーム、チェックボックス経由)。
悪意のあるコードは MySQL データベースに送信され、「挿入」されます。このプロセスを確認するには、まず次の基本的な MySQL SELECT クエリ ステートメントを検討してください。
SELECT * FROM xmen WHERE username = 'wolverine'
このクエリは、「xmen」テーブルを持つデータベースに、ユーザー名が「wolverine」の特定のデータを返すように要求します。 MySQL で。
Web フォームにユーザーが「wolverine」と入力すると、このデータが MySQL クエリに渡されます。
入力が無効な場合、ユーザー名を設定するなど、ハッカーがデータベースを制御する他の方法があります:
' OR ''=''
通常の PHP および MySQL 構文を使用して入力を実行するのが安全だと思うかもしれません。誰かが悪意のあるコードを入力するたびに、「無効なクエリ」メッセージが表示されますが、そうではありません。ハッカーは賢いので、データベースのクリーンアップや管理者権限のリセットが必要となるため、セキュリティ ホールを修正するのは簡単ではありません。
MySQL インジェクション攻撃に関するよくある誤解は次の 2 つです。
1. ネットワーク管理者は、悪意のあるインジェクションはウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアでクリーンアップできると信じています。実際、この種の感染は MySQL データベースの弱点を悪用します。これは、スパイウェア対策プログラムやウイルス対策プログラムによって簡単に削除することはできません。
2. MySQL インジェクションは、感染したファイルを別のサーバーまたは外部ソースからコピーすることによって発生します。これは事実ではありません。このタイプの感染は、誰かが Web サイト上の保護されていないフォームに悪意のあるコードを入力し、データベースにアクセスすると発生します。 MySQL インジェクションは、ウイルス対策プログラムを使用するのではなく、悪意のあるスクリプトを削除することでクリーンアップできます。
ユーザー入力検証プロセスでは、
クリーンなデータベースがバックアップされ、サーバーから切り離されます。 MySQL テーブルのセットをエクスポートし、デスクトップに保存します。
次にサーバーにアクセスし、まずフォーム入力を一時的にオフにします。これは、フォームがデータを処理できず、Web サイトがシャットダウンされることを意味します。
次に、クリーンアッププロセスを開始します。まず、サーバー上で、残っている乱雑な MySQL インジェクションをクリーンアップします。すべてのデータベース、FTP、Web サイトのパスワードを変更します。
最悪の場合、クリーンアップが遅れた場合は、サーバー上で実行されている隠しプログラムがないか再確認してください。これらの隠されたプログラムは、ハッカーによってインストールされたトロイの木馬です。完全に削除し、すべての FTP アクセス許可を変更します。すべてのトロイの木馬とマルウェアについてサーバーをスキャンします。
PHP スクリプト プログラムを変更すると、フォーム データが処理されます。 MySQL インジェクションを防ぐ良い方法は、ユーザー データさえも信頼しないことです。ユーザー入力の検証は、MySQL インジェクションを防ぐために非常に重要です。
ユーザー入力を除外するフィルターを設計するためのいくつかのヒントを次に示します。
1. フォームへの入力は数値です。それが 0.001 以上であるかどうかをテストすることで、それが数値であることを確認できます (ゼロは受け入れられないと仮定します)。
2.メールアドレスの場合。 「@」、AZ、AZ、またはいくつかの数字など、許可された文字の組み合わせで構成されているかどうかを確認します。
3. 個人名またはユーザー名の場合。 SQL インジェクションに使用される可能性のある不正な文字 (and や * など) が含まれているかどうかによって検証できます。
数値入力の検証
次のスクリプトは、0.001 から無限までの有効な数値が入力されたことを検証します。 PHP プログラムでは、特定の範囲内の数値の使用を許可することもできることに注意してください。この検証スクリプトを使用して、フォームに数値のみが入力されていることを確認します。
プログラムに 3 つの数値変数があるとします。それらを検証する必要があるので、それらに num1、num2、および num3 という名前を付けます。
//数値入力を検証します。
if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001){
}else{
}
?>
また、条件は 3 つ以上の数値を収容できるように拡張できます。したがって、10 個ある場合は、AND ステートメントを展開するだけで済みます。
これは、契約数量、ライセンス番号、電話番号などの数字のみを受け入れるフォームを検証するために使用できます。
テキストと電子メール アドレスの入力を検証する
以下を使用して、ユーザー名、名、電子メール アドレスなどのフォーム入力を検証できます:
//テキスト入力を検証する
if (! preg_match('/^[-az.-@,'s]*$/i',$_POST['name'])){
}
elseif ($empty==0){
}else{
}
?>
この検証スクリプトの利点の 1 つは、空の入力を受け入れないことです。悪意のあるユーザーの中には、空白の入力を通じてデータベースを操作する人もいます。上記のスクリプトを使用して、1 つのリテラル変数「$name」のみを検証します。つまり、テキスト変数が 3 つある場合、各変数の検証スクリプトを設定して、データベースに入力する前に各変数がレビューに合格することを確認できます。