Heim >Backend-Entwicklung >PHP-Tutorial >php mongodb 注入_PHP教程

php mongodb 注入_PHP教程

WBOY
WBOYOriginal
2016-07-14 10:09:42843Durchsuche

 


下面就介绍下php+mongodb注入的方法和原理

其中一篇帖子说:login.php?username=admin&passwd[$ne]=1就有可能注入,刚看的时候,我感觉挺纳闷的,这个怎么就存在注入漏洞了呢,终于从这篇帖子http://hi.baidu.com/hi_heige/item/ce93ce926dede4f428164747中发现了原因。因为PHP是可以直接提交array的,也就是说提交的是含有“$ne”索引的数组,我做了个demo:


[php]
$passwd=$_GET["passwd"]; 
var_dump($passwd); 

$passwd=$_GET["passwd"];
var_dump($passwd);
测试结果为:

array(1) { ["$ne"]=> string(1) "1" }

 


这样的话


[php]
$collection->find(array( 
    "username" => "admin", 
    "passwd" => array("$ne" => 1) 
)); 

$collection->find(array(
    "username" => "admin",
    "passwd" => array("$ne" => 1)
));
就变为了:


[php]

$collection->find(array(      "username" => "admin",      "passwd" => array("$ne" => 1)  ));  $collection->find(array(
    "username" => "admin",
    "passwd" => array("$ne" => 1)
));


如果把链接改成这种(username=[$ne]=1&passwd[$ne]=1)的话,那么会把所有的用户信息都获取过来

解决这个bug的方法为在获取参数后都把参数强制转换成string类型下:

[php]
$collection->find(array( 
    "username" => (string)$_GET['username'], 
    "passwd" => (string)$_GET['passwd'] 
)); 

$collection->find(array(
    "username" => (string)$_GET['username'],
    "passwd" => (string)$_GET['passwd']
));这个与执行下面的mysql语句是一样的道理了,都注入了


[php]

mysql_query("SELECT * FROM collection 
    WHERE username="admin", 
    AND passwd!=1 

mysql_query("SELECT * FROM collection
    WHERE username="admin",
    AND passwd!=1
我做了个demo测试了下,果然好使。

 

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/477615.htmlTechArticle下面就介绍下php+mongodb注入的方法和原理 其中一篇帖子说:login.php?username=adminpasswd[$ne]=1就有可能注入,刚看的时候,我感觉挺纳闷的,这个...
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn