php中常見的sql攻擊正則表達式

 　　我們都已經知道，在MYSQL 5+中 information_schema庫中存儲了所有的 庫名，表明以及字段名信息。故攻擊方式如下：

　　1. 判斷第一個表名的第一個字符是否是a-z中的字符,其中blind_sqli是假設已知的庫名。

　　注：正則表達式中 ^[a-z] 表示字符串中開始字符是在 a-z范圍內

 代碼如下  

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-z]' LIMIT 0,1) /*

　　2. 判斷第一個字符是否是a-n中的字符

 代碼如下  

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables  WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)/*

　　3. 確定該字符為n

 代碼如下  

 index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables  WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^n' LIMIT 0,1) /* www.111cn.net

　　4. 表達式的更換如下

 代碼如下  

 expression like this:  '^n[a-z]' -> '^ne[a-z]' -> '^new[a-z]' -> '^news[a-z]' -> FALSE 

　　這時說明表名為news ，要驗證是否是該表明 正則表達式為'^news$'，但是沒這必要 直接判斷 table_name = ’news‘ 不就行了。

　　5.接下來猜解其它表了 只需要修改 limit 1,1 -> limit 2,1就可以對接下來的表進行盲注了。

　　例

 代碼如下  

$Exec_Commond  = "( s|S)*(exec(s|+)+(s|x)pw+)(s|S)*";
$Simple_XSS = "( s|S)*((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>)(s|S)*";
$Eval_XSS  = "( s|S)*((%65)|e)(s)*((%76)|v)(s)*((%61)|a)(s)*((%6C)|l)(s|S)*";
$Image_XSS  = "( s|S)*((%3C)|<)((%69)|i|I|(%49))((%6D)|m|M|(%4D))((%67)|g|G|(%47))[^n]+((%3E)|>)(s|S)*" ;
$Script_XSS = "( s|S)*((%73)|s)(s)*((%63)|c)(s)*((%72)|r)(s)*((%69)|i)(s)*((%70)|p)(s)*((%74)|t)(s|S)*";
$SQL_Injection = "( s|S)*((%27)|(')|(%3D)|(=)|(/)|(%2F)|(")|((%22)|(-|%2D){2})|(%23)|(%3B)|(;))+(s|S)*";

　　sql攻擊代碼

 代碼如下   <?php 
function customError($errno, $errstr, $errfile, $errline) 
{ 
    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />"; 
    die(); 
} 
set_error_handler("customError",E_ERROR); 
$getfilter="'|(and|or)b.+?(>|<|=|in|like)|/*.+?*/|<s*scriptb|bEXECb|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"; 
$postfilter="b(and|or)b.{1,6}?(=|>|<|binb|blikeb)|/*.+?*/|<s*scriptb|bEXECb|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"; 
$cookiefilter="b(and|or)b.{1,6}?(=|>|<|binb|blikeb)|/*.+?*/|<s*scriptb|bEXECb|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"; 
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq)
{    
    if(is_array($StrFiltValue)) 
    { 
        $StrFiltValue=implode($StrFiltValue); 
    } 
    if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))
    { 
        slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作時間: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作頁面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交參數: ".$StrFiltKey."<br>提交數據: ".$StrFiltValue); 
        print "result notice:Illegal operation!"; 
        exit(); 
    } 
} 
foreach($_GET as $key=>$value)
{ 
    StopAttack($key,$value,$getfilter); 
} 
foreach($_POST as $key=>$value)
{ 
    StopAttack($key,$value,$postfilter); 
} 
foreach($_COOKIE as $key=>$value)
{ 
    StopAttack($key,$value,$cookiefilter); 
} 
   
function slog($logs) 
{ 
    $toppath="log.htm"; 
    $Ts=fopen($toppath,"a+"); 
    fputs($Ts,$logs."rn"); 
    fclose($Ts); 
} 
?>

　　sql

　　分析

　　如果使用這個函數的話，這個函數會繞開PHP的標准出錯處理，所以說得自己定義報錯處理程序(die())。

　　其次，如果代碼執行前就發生了錯誤，那個時候用戶自定義的程序還沒有執行，所以就不會用到用戶自己寫的報錯處理程序。

　　那麼，PHP裡有一套錯誤處理機制，可以使用set_error_handler()接管PHP錯誤處理，也可以使用trigger_error()函數主動拋出一個錯誤。

　　set_error_handler()函數設置用戶自定義的錯誤處理函數。函數用於創建運行期間的用戶自己的錯誤處理方法。它需要先創建一個錯誤處理函數，然後設置錯誤級別。

　　關於的用法：

 代碼如下  

function customError($errno, $errstr, $errfile, $errline)

{