PHP+MySQL多语句执行<转自wooyun>

发起这个帖子，估计就很多人看到题目就表示不屑了。一直以来PHP+MySQL环境下，无论是写程序或者是注入攻击，是无法多语句执行的，这么广为人知的
常识，没理由会有人不知道。可权威就是用来被挑战的，常识也就是为了被打破的。如果没有一点创新性，追根到底的求知欲，一直在条条框框里挣扎，那还有什么
争取自由、解析世界的Hacker，Geek精神？最近在wooyun上看到一个很简单的sql注入案例，虽然漏洞很简单，但是其中蕴含的内容可大大不
同。亮点在于：作者居然在注射利用过程中使用了mysql的多语句执行。感谢作者@紫梦芊 ，让我们一直以来奉为金科玉律的信条被彻底颠覆。本着Know
it then hack it的想法，我仔细研究了一下这一条“常识”是如何形成，又如何被作者打破的。从最早国内angel介绍的《SQL
Injection with MySQL》&《Advanced SQL Injection with
MySQL》这两篇文章开始，PHP+MySQL注入就一直停留在UNION Select的基石上建立起来的。可Union select作为SQL
Inj的方法，一直都有很多限制，比如需要猜字段数、猜表名，非select语句就无法使用union，注入点在order by或者group
by语句后就很难进行操作，盲注比较复杂等等问题。可为什么非要使用union select？除了当年MySQL
3.x不支持子查询查询数据之外，主要原因，在实践中发现注射中同样不能像mssql一样用分号来分割执行多个sql语句。为什么？因为PHP的
MySQL,MySQLi扩展，都因为安全原因，在connect的时候，都不允许设置CLIENT_MULTI_STATEMENTS，哪怕你手工在
connect的时候设置了这个flag，php在源代码级别，仍然会帮你去除掉：php-5.3.8/ext/mysqli
/mysqli_nonapi.c    /* set some required options */    flags |=
CLIENT_MULTI_RESULTS; /* needed for mysql_multi_query() */    /* remove
some insecure options */    flags &= ~CLIENT_MULTI_STATEMENTS;   /*
don't allow multi_queries via connect parameter
*/而没有这个特殊的设置，MySQL是不允许在一个mysql_query中使用分号执行多语句的。于是，这也就是长久以来，大家都认为mysql是不
允许多语句执行的根本原因。实际上这恰恰是个错误的认识，实际上mysql早在4.1版本就允许多语句执行。只是PHP自身限制了这种用法。而是不是
PHP就完全无法使用多语句执行呢？答案是否，利用mysqli_multi_query就可以执行多语句，但是现实应用中基本没有人会用这个语句。而另
一个常被程序员所使用的PDO方式操作数据库，情况又如何？create table `car`(`name` varchar(32),
`type` varchar(32));<?php$db = new
PDO("mysql:host=localhost:3306;dbname=test", 'root', '');// works
regardless of statements emulation//
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, 0);//$sql = "DELETE
FROM car; INSERT INTO car(name, type) VALUES ('car13', 'coupe'); INSERT
INTO  car(name, type) VALUES ('car2', 'coupe');";//try
{    //$db->exec($sql);  $db->query($sql);  //$stmt =
$db->prepare($sql);  //$stmt->execute();}catch(PDOException
$e){    echo
$e->getMessage();    die();}测试了一下，果然，以上这些多语句，在PDO的情况下，安然执行了。果断查找PHP源代
码：php-5.3.8/ext/mysqlnd/mysqlnd_enum_n_def.h#define
CLIENT_MULTI_STATEMENTS    (1UL << 16) /* Enable/disable
multi-stmt support */php-5.3.8/ext/pdo_mysql/mysql_driver.c#ifdef
CLIENT_MULTI_STATEMENTS    |CLIENT_MULTI_STATEMENTS果然，PHP源代码默认支持了多语句执行特
性，已经在mysqlnd这个driver中定义了多语句执行的参数。要知道，现在多数PHP的编程框架为了支持多数据库类型，基本都会使用PDO作为底
层数据库连接方式。这意味着什么？意味着在PDO的环境中，注入点是什么类型（insert，update，delete，select）已经不重要了，
注入点在语句的什么位置也不重要了（table，where，orderby），一切可能性都重现了，mysql功能突然全开放在我们面前，都可以利用多
语句的方式，重新构造我们所需要的sql语句。那是否利用PDO使用这个就完全没有限制了呢？当然也不是。首先，一般框架使用PDO作为数据库连接，常用
的数据库操作，都是使用参数绑定或者prepare的方式，进行参数绑定的。而在默认情况下，这种参数绑定是在php客户端进行的，在这种情况下，是不允
许多语句的。只有如下方法：$db->setAttribute(PDO::ATTR_EMULATE_PREPARES,
0);才可以利用prepare执行多语句（因为参数绑定是在server端执行），而这种状况非常少见。所以，真正可以利用的多语句注射，只能是存在于
利用PDO连接数据库，并直接使用exec或者query函数进行执行sql语句的地方。是不是太苛刻？其实这种例子并不少见，各位只要用心找，总是能找
到的。文末再次感谢引导我寻找原因的漏洞作者@紫梦芊 ，以及@Laruence ，给我看PHP代码提供了不少帮助。