我在 Laravel 中有一个这样的简化代码:
$uid = $request->input('uid');
DB::table('users')->insert([
'uid' => DB::raw("CONV('$uid', 16, 10)"),
'created_at' => date("Y-m-d H:i:s")
]);
我的代码是否容易受到 SQL 注入攻击?为什么?如果是这样,我该如何预防?
【问题讨论】:
$uid 进行注入,所以是的,您已经创建了一个注入漏洞。
DB::raw 的普通旧参数。
标签: php mysql laravel sql-injection query-builder
是的,因为$uid 的原始内容将被注入到您的 sql 查询中,所以它很容易受到 SQL 注入的攻击。
虽然DB::raw()接受了准备好的参数,但是不能在insert方法内部正确使用。
为此,您需要手动编写插入查询:
$uid = $request->input('uid');
DB::statement('INSERT INTO users (uid, created_at) VALUES (CONV(?, 16, 10), ?)', [
$uid,
date("Y-m-d H:i:s")
]);
【讨论】:
Next Illuminate\Database\QueryException: SQLSTATE[22007]: Invalid datetime format: 1292 Truncated incorrect DECIMAL value: ':uid' (SQL: insert into 'users' ('uid', 'created_at') values (CONV(':uid', 16, 10), 2020-04-08 20:39:33)) in vendor/laravel/framework/src/Illuminate/Database/Connection.php:669
"CONV(:uid, 16, 10)"。
SQLSTATE[HY093]: Invalid parameter number: mixed named and positional parameters (SQL: insert into users (uid, created_at) values (CONV(:uid, 16, 10), 2020-04-08 20:59:41))。看起来它根本没有将 uid 值传递给原始查询!
是的,将请求输入直接复制到原始 SQL 查询中是 SQL 注入漏洞的一个示例。
我建议这个替代方案:
$uid = base_convert($request->input('uid'), 16, 10);
DB::table('users')->insert([
'uid' => $uid,
'created_at' => date("Y-m-d H:i:s")
]);
【讨论】:
ffffffffffffffff 转换为十进制 18446744073709551615 当然我可以使用自定义函数,但这与易受 SQL 注入攻击无关。
base_convert()。我已经更新了我的答案以显示这一点。
base_convert() 为 ffffffffffffffff 返回 18446744073709552046,这是不正确的。正确的值为18446744073709551615