使用数据库级MD5函数是否比应用程序级函数存在更大的安全风险？

Question

我有一段代码可以验证用户的用户名和密码，其内容如下：

$sql = "SELECT * 
FROM user 
WHERE 
    username='{$_POST['username']}' AND 
    password=MD5('{SALT}{$_POST['password']}')";

这比这样做更安全/更不安全吗？

$sql = "SELECT * 
FROM user 
WHERE 
    username='{$_POST['username']}' AND 
    password='".md5(SALT.$_POST['password'])."'";

无论在何处/是否进行转义，第一种方法是否容易受到 SQL 注入攻击？对于除 MySQL 之外的其他数据库引擎，答案是否相同？

Answer 1

您应该使用准备好的语句和看看这个问题。

Answer 2

说到注入，如果你正确地转义变量，两种方法都是安全的。

如果您使用完整的查询日志记录，第一种情况将更容易受到攻击，因此密码将显示为纯文本。

此外，如果您的系统受到某种充当脚本和数据库之间代理的病毒的影响，它就能够捕获您的密码。

您可能遇到的最后一个问题（事实上，很少见）是当系统感染病毒时，病毒会从内存中读取敏感数据。

我希望这是有道理的。

Answer 3

天啊，请告诉我你正在做某种类型的 mysql_escape_string 或 mysql_real_escape_string 或至少 addslashes 或 addcslashes在将任何 $_POST 变量插入原始 MySQL 语句之前？

我认为最安全的方法是：

a) 使用 filter_var 或 preg_replace 删除 $_POST['username'] 中的无关字符

b) < code>SELECT 来自 MySQL 的用户名行（同时获取摘要密码）

c) 将 $_POST 中的密码消息摘要版本与检索到的行的消息摘要版本进行比较（假设你不会在应用程序代码中留下你的密码（明文），而不是在 SQL 语句中

如果你这样做，那么只有 1 个可能的注入位置（用户名），并且当你执行 时这是几乎不可能的preg_replace( '/\W/', '', $_POST['username'] ) 删除任何非 A-Za-z0-9_- 的内容（或更改为您的用户名白名单字符）。

然而，如果你进行了绝对正确的消毒，那么在哪里进行比较并不重要。不过，从理论上讲，我会允许与用户输入和原始 SQL 语句进行尽可能少的交互（即仅通过用户名进行 SELECT 并在数据库外部进行比较）。

Answer 4

首先使用 MD5 是为了避免成为不安全的算法，并且永远不应该将其用于密码。您应该使用陈旧的 sha256，并且大多数数据库没有此函数调用。但即使数据库有，我也认为这是一个坏主意。这不是一个坏主意，但最好保留尽可能少的密码副本。通常，数据库可能位于完全不同的计算机上，如果该计算机受到威胁，则攻击者可以通过查看查询来获取明文密码。就 SQL 注入而言，安全性没有区别，从您的查询来看，您应该更担心 SQL 注入。

Answer 5

无论在何处/是否进行转义，第一种方法是否容易受到 SQL 注入攻击？

如果进行适当的转义和清理，则不会发生 SQL 注入

除了 MySQL 之外，其他数据库引擎的答案是否相同？

我认为你应该更多地关注执行一项行动而不是另一项行动所花费的费用。在其他条件相同的情况下，第一种方法的执行时间比第二种方法要少。