Injeção de SQL que contorna mysql_real_escape_string()

O ataque

mysql_query('SET NAMES gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

1. 
   Selecionando um conjunto de caracteres
   

   mysql_query('SET NAMES gbk');
   

   
   Para que este ataque funcione, precisamos da codificação que o servidor espera na conexão tanto para codificar ' como em ASCII, ou seja, 0x27 e ter algum caractere cujo byte final seja um \ ASCII ou seja, 0x5c . Como se vê, existem 5 dessas codificações suportadas no MySQL 5.6 por padrão:big5 , cp932 , gb2312 , gbk e sjis . Vamos selecionar gbk aqui.
   
   Agora, é muito importante observar o uso de SET NAMES aqui. Isso define o conjunto de caracteres NO SERVIDOR . Se usássemos a chamada para a função da API C mysql_set_charset() , estaríamos bem (em versões do MySQL desde 2006). Mas mais sobre por que em um minuto ...
   
2. 
   A carga
   
   A carga útil que vamos usar para esta injeção começa com a sequência de bytes 0xbf27 . Em gbk , é um caractere multibyte inválido; em latin1 , é a string ¿' . Observe que em latin1 e gbk , 0x27 por si só é um ' literal personagem.
   
   Escolhemos esta carga porque, se chamássemos addslashes() nele, inseriríamos um \ ASCII ou seja, 0x5c , antes do ' personagem. Então, terminaríamos com 0xbf5c27 , que em gbk é uma sequência de dois caracteres:0xbf5c seguido por 0x27 . Ou, em outras palavras, um válido caractere seguido por um ' sem escape . Mas não estamos usando addslashes() . Então vamos para o próximo passo...
   
3. 
   mysql_real_escape_string()
   
   A chamada da API C para mysql_real_escape_string() difere de addslashes() em que ele conhece o conjunto de caracteres de conexão. Assim, ele pode executar o escape corretamente para o conjunto de caracteres que o servidor está esperando. No entanto, até este ponto, o cliente pensa que ainda estamos usando latin1 para a conexão, porque nunca dissemos o contrário. Nós informamos ao servidor estamos usando gbk , mas o cliente ainda acha que é latin1 .
   
   Portanto, a chamada para mysql_real_escape_string() insere a barra invertida, e temos um ' pendurado livre personagem em nosso conteúdo "escapado"! Na verdade, se olharmos para $var no gbk conjunto de caracteres, veríamos:
   

   縗' OR 1=1 /*

   
   Qual é exatamente o que o ataque exige.
   
4. 
   A consulta
   
   Esta parte é apenas uma formalidade, mas aqui está a consulta renderizada:
   

   SELECT * FROM test WHERE name = '縗' OR 1=1 /*' LIMIT 1
   

O ruim

$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

O feio

A graça salvadora

Exemplos seguros

mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

mysql_set_charset('gbk');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$pdo->query('SET NAMES gbk');
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=gbk', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$stmt->execute(array("\xbf\x27 OR 1=1 /*"));

$mysqli->query('SET NAMES gbk');
$stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1');
$param = "\xbf\x27 OR 1=1 /*";
$stmt->bind_param('s', $param);
$stmt->execute();

Encerrando

• Use versões modernas do MySQL (final da 5.1, todas 5.5, 5.6 etc.) E mysql_set_charset() / $mysqli->set_charset() / Parâmetro do conjunto de caracteres DSN do PDO (em PHP ≥ 5.3.6)

• Não use um conjunto de caracteres vulnerável para codificação de conexão (você só usa utf8 / latin1 / ascii /etc)