是否可以在 Damn Vulnerable Web App 上进行 SQL 注入（高级）？

Question

我搜索了整个谷歌，看看如何绕过以下内容（来自 DVWA 的高级安全性）：

$id = $_GET['id']; 
    $id = stripslashes($id); 
    $id = mysql_real_escape_string($id); 

    if (is_numeric($id)){ 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i=0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 

        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 

能破解吗？

对于那些不熟悉 DVWA 的人，这里有一个关于它的 youtube 视频： http://www.youtube.com/watch?v=oMV0JZVxvdQ

另外，我的另一个担忧是中等水平。它确实有 mysql_real_escape_string() 工作，但是当您从低级别使用相同的 SQL 注入并删除引号时，它会绕过保护。这是为什么？绕过mysql_real_escape string怎么这么容易？

Medium 级别的代码（简洁版）是这样的：

   $id = $_GET['id']; 
    $id = mysql_real_escape_string($id); 
    $getid = "SELECT first_name, last_name FROM users WHERE user_id = $id";

我想使用 PDO，因为它可能更安全。请让我知道您对此的看法。

非常感谢。

Answer 1

添加is_numeric 不会使这很可能成为全面的sql 攻击，但is_numeric 并不是很准确：

is_numeric('0xdeadbeef') // true
is_numeric('10e3') // true

使用过滤器可能会更好：

if (false !== ($id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT))) {
}

Answer 2

我遇到了和你一样的问题。我也不知道怎么破解。

但我认为我对中等级别的问题有一个答案，我认为这是程序员的错误。

$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"

请注意，在低级别和高级别中，您在 $id 中都有引号，而不是在中...我认为这就是重点。 如果你有这个：

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"

我很确定在中级绕过 mysql_real_escape 字符串不会那么容易。

换句话说，我很确定，如果您没有在 High Level 中使用引号，您也可以进行注入。

Answer 3

在中等级别只需使用：1 and 1=1 order by X。

作者的所有查询都是低级的，但是您可以将表名替换为十六进制代码0x...，例如where table_name=0x12345。如果我们使用字符串 char 会出错，因为不允许使用 '。