3

我正在尝试为我的 PSQL 数据库创建一个 PHP 接口,并且我希望一些在 PSQL 上注册的本地用户登录到我的数据库。我会首先为每个用户创建每个用户名,并使用像“Password123”这样的通用密码,然后用户可以稍后更改他/她的密码。

为此,我想到了使用一个简单的 PHP 表单:

<form action="" method="post">
    <table>
    <tr> <td> User: </td> <td> <input type="text" name="user" /> </td> </tr>
    <tr> <td> Old password: </td> <td> <input type="password" name="old" /> </td> </tr>
    <tr> <td> New password: </td> <td> <input type="password" name="new1" /> </td> </tr>
    <tr> <td> Repeat new password: </td> <td> <input type="password" name="new2" /> </td> </tr>
     <tr> <td> <input type="submit" name="submit" value="Change password" /> </td> </tr>
</form>

<?php
    if ($_POST) {
        $user = $_POST["user"];
        $old = $_POST["old"];
        $new1 = $_POST["new1"];
        $new2 = $_POST["new2"];

        $link = pg_connect("dbname=mydb host=localhost user=$user password=$old connect_timeout=1");
        if (!$link) { 
            die("Error connecting to mydb: ".pg_last_error($link)); 
        }

        if ($new1 <> $new2) {
            pg_close($link);
            die("New passwords do not match.");
        }

        $res = @pg_query($link,"ALTER ROLE $user WITH ENCRYPTED PASSWORD '$new1';");
        if ($res) {
            echo "Password successfully changed!<br>";
        } else {
            echo "Failed to change password...<br>";
        }

        pg_close($link);
    }
?>

它确实像我预期的那样工作!

但是我读到有一些 SQL 注入攻击可以在这样的表达式上进行,其中 SQL 查询中有一个简单的变量插值。所以我读到PREPARE语句是进行此类查询的最安全方法。我希望做类似的事情:

pg_prepare($link,"change_user","ALTER ROLE $1 WITH ENCRYPTED PASSWORD '$2';");

但是我得到一个语法错误,即使我PREPARE在 pgAdminIII 中尝试这个命令。事实上,Postgres 手册表明PREPARE只能准备“任何 SELECT、INSERT、UPDATE、DELETE 或 VALUES 语句”。

然后我尝试使用该pg_escape_string()功能:

$user = pg_escape_string($_POST["user"]);
...

这在我使用普通密码时效果很好,如果我尝试设置密码''",之后我无法更改它。我已经尝试过根据手册pg_escape_literal 首选哪个pg_escape_string,但我的 PHP 版本是 5.3.13,并且此命令仅适用于 5.4.4 及以后的版本。

问题是:在这种情况下,这是防止注入攻击的最佳方法吗?这真的可以防止攻击吗?

另一个问题:如果用户想在他/她的密码中使用撇号,是否有可能没有这个错误?

4

2 回答 2

5

正如您所发现的,准备好的语句不能用于“实用程序语句” ALTER USER,它们超出了这个问题的范围。

用户和密码必须正确引用,并且要正确引用有几个问题需要考虑。

用户是一个标识符,密码是一个字符串字面量,这就是为什么标识符不是用单引号括起来而密码是。它们不遵循相同的句法规则,不能用相同的函数引用。

php-5.4.4 提供pg_escape_identifier了标识符,但旧版本没有提供任何引用标识符。pg_escape_string如其描述和用户评论中所述,不适合此。PostgreSQL 本身提供了该quote_ident函数,但为了调用它,应该进行单独的查询。基本上这可能看起来像这样:

$pgr=pg_query_params($dbconn, 'SELECT quote_ident($1)',
                     array(pg_escape_string($_POST["user"])));
// error check on $pgr omitted for brievity
list($quoted_user) = pg_fetch_array($pgr);
$quoted_password = pg_escape_string($_POST["password"]);
$res=pg_query($dbconn, 
              "ALTER USER $quoted_user WITH ENCRYPTED PASSWORD '$quoted_password'");

但是,您可能会质疑让用户选择他们想要的任何密码而不进行过滤是否是个好主意。

在它引起的问题中,立即引发的问题是在您的连接调用中:

$link = pg_connect("dbname=mydb host=localhost user=$user password=$old connect_timeout=1");

这里的密码$old没有被引用,如果它包含一个空格字符,这将失败。这可能是您提到的这个问题的原因: 如果我尝试设置像“'”这样的密码,之后我就无法更改它

为了处理pg_connect调用中的特殊字符,文档这样说:

每个参数设置的形式为keyword = value。等号周围的空格是可选的。要写入空值或包含空格的值,请用单引号将其括起来,例如,keyword = 'a value'。值中的单引号和反斜杠必须用反斜杠转义,即\' 和\。

因此,如果您打算接受任何东西,您应该提供一个执行此转义的函数。

就个人而言,我会首先在用户提供的密码中禁止这些字符,因为这是不必要的问题来源。由于编码问题,以及非 US-ASCII 字符。

于 2013-09-19T18:00:09.243 回答
4

作为说明,我建议为此使用存储过程。如果需要,准备好的语句总是可以调用存储过程。

这是一些非常简单的示例代码,大部分是从 LedgerSMB 复制的(并进行了一些编辑):

CREATE OR REPLACE FUNCTION save_user(
    in_username text,
    in_password TEXT
) returns bool
SET datestyle = 'ISO, YMD' -- needed due to legacy code regarding datestyles
AS $$
    DECLARE

        stmt text;
        t_is_role bool;
    BEGIN
        -- WARNING TO PROGRAMMERS:  This function runs as the definer and runs
        -- utility statements via EXECUTE.
        -- PLEASE BE VERY CAREFUL ABOUT SQL-INJECTION INSIDE THIS FUNCTION.

       PERFORM rolname FROM pg_roles WHERE rolname = in_username;
       t_is_role := found;

       IF t_is_role is true and t_is_user is false and in_pls_import is false THEN
          RAISE EXCEPTION 'Duplicate user';
        END IF;

        if t_is_role and in_password is not null then
                execute 'ALTER USER ' || quote_ident( in_username ) ||
                     ' WITH ENCRYPTED PASSWORD ' || quote_literal (in_password)
                     || $e$ valid until $e$ ||
                      quote_literal(now() + '1 day'::interval);
        elsif  t_is_role is false THEN
            -- create an actual user
                execute 'CREATE USER ' || quote_ident( in_username ) ||
                     ' WITH ENCRYPTED PASSWORD ' || quote_literal (in_password)
                     || $e$ valid until $e$ || quote_literal(now() + '1 day'::interval);
       END IF;

       return true;

    END;
$$ language 'plpgsql' SECURITY DEFINER;

请注意,这是一个安全定义器函数。通常建议您将此功能设置为由非数据库超级用户的用户拥有。这样的用户需要 createrole 权限和访问您要在此处管理的任何表的访问权限。还要注意这个警告。如果您没有适当地转义参数,则可以进行数据库内 SQL 注入。请注意,此功能既可以创建用户也可以更改密码。LSMB 特有的部分关于检测用户是否被设置,如果没有则处理该情况在此省略。

于 2013-09-20T06:10:26.780 回答