一封老邮件:
之前出现的问题就是当数据库字符集设置为gbk时,%bf%27这个调用mysql_real_escape_string转化后会出现%bf%5c%27仍然会出现安全问题。
例子:
http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html
中文介绍:
http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html
文中采用如下方式去设置字符集,当然我们看到大部分程序都是通过这种方式设置字符集的:
mysql_query(“SET CHARACTER SET ‘gbk'”, $c); 或者mysql_query(“SET NAMES ‘gbk’ “, $c);
这种调用会导致mysql_real_escape_string 出现问题,也就是比较常见的%bf%27转义后会成为%bf%5c%27,但是%bf%5c是一个合法的gbk字符,导致了安全问题的产生
值得注意是在php手册中说明了这个函数会根据当前字符集处理转义。也就是说这种情况下,并没有根据当前字符集(我们设置的gbk)进行转义还是采用了latin1,或者说明上面的这句话并不会改变mysql_real_escape_string对字符集的认识。
做个试验会发现你如果用mysqli(mysql的一个扩展方式php_mysqli.dll)的方法$mysqli->set_charset设置字符集之后,调用$mysqli->real_escape_string(也是转义函数)就能够正常处理这个问题了,%bf%27会转化为%5c%bf%5c%27。而不是%bf%5c%27
说明一下两种php调用mysql的流程:
1)调用mysql_real_escape_string是调用在php_mysql.dll扩展中定义的php函数,然后最终会调用libmysql.dll的导出函数mysql_real_escape_string
2)调用$mysqli->real_escape_string是调用在php_mysqli.dll扩展中定义的php函数,然后最终也会调用libmysql.dll的导出函数mysql_real_escape_string
可以看出两种方式都最终都调用了相同的函数,所以看来php_mysql.dll中的mysql_real_escape_string并没有根据set names ‘gbk’进行转化。
通过参考 http://dev.mysql.com/doc/refman/5.1-maria/en/mysql-real-escape-string.html 中的一段话可以发现:
If you need to change the character set of the connection, you should use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.
这表明set names只是设置了服务器端的编码,对mysql_real_escape_string()没有影响,所以有效地方式是调用mysql_set_character_set(),php_mysqli里面有相关调用。在“低版本”的php_mysql.dll中没有定义可以设置charset的接口,所以不得不采用set names 的方式,所以导致了问题的产生。
在高版本php中,PHP 5 >= 5.2.3有了一个新函数mysql_set_charset这时设置字符集后,就不会在产生转义导致的安全问题了。
这个问题还是比较典型,最开始是mysql的bug,没有考虑多字节的转义,后来php又没有提供相应的php函数接口,导致安全问题的产生,具体细节请看参考连接。
Discuz的处理方式:
调用先调用SET NAMES gbk , 然后 SET character_set_client = binary 设置连接参数,这句话会保证%bf%5c%27 select不会产生问题,但最终查了什么我试了很多次都没有得到结果,这里面有一个问题就是,如果在insert时就会导致connection转化client导致转化成空的字符,所以也谈不上完美的方式。
解决方法:
Mysql升级到高版本;
升级php到高版本或者添加自定义补丁到低版本php中添加对mysql_set_character_set()的调用,或者低版本中采用mysqli;
参考:
http://bugs.mysql.com/bug.php?id=8378