淺析PHP框架Laravel最新SQL注入漏洞

PHP知名開發框架Laravel，之前在官方部落格通報了一個高風險SQL注入漏洞，這裡簡單分析下。

首先，這個漏洞屬於網站coding寫法不規範，官方給了提示：

但官方還是做了修補，升級最新版本V5.8.7可修復。

我們先定位下這裡：

Illuminate\Validation\Rule

官方推薦的寫法是：

Rule::unique('users')->ignore($id),

如果網站coding沒有預先對$id的值做處理時，使用者可以直接傳遞惡意資料給ignore函數，就會導致SQL注入。

我們來跟一下函數：

\Illuminate\Validation\Rules\Unique.php class Unique {
... public function ignore($id, $idColumn = null) { if ($id instanceof Model) { return $this->ignoreModel($id, $idColumn);
        } $this->ignore = $id; $this->idColumn = $idColumn ?? 'id'; return $this;
    }

這裡我們不考慮把$id寫成實例的情況，$id是用戶可控的話，$idColumn直接寫成空即可，最後賦值情況如下：

$this->ignore = $id; $this->idColumn = 'id';

如果網站程式碼類似這樣建構的話，駭客輸入的值就屬於可控狀態：

$id = $request->input('id');

最後我們會走到這裡：

Illuminate\Validation\Rules\Unique.php public function __toString() {
        ...
        ...
    }

我們看下關鍵的程式碼變更：

Illuminate\Validation\Rules\Unique.php
V5.8.7【最新版】 public function __toString() { $this->ignore ? '"'.addslashes($this->ignore).'"' : 'NULL',
    } 
Illuminate\Validation\Rules\Unique.php
V5.8.4 public function __toString() { $this->ignore ? '"'.$this->ignore.'"' : 'NULL',
    }

這裡最新的程式碼v5.8.7，把$this->ignore直接給addslashes了，以前這裡是沒有防護的。

有趣的是，筆者對比了下diff，期間官方也試圖對其他引用的地方進行過濾。最後還是在__toString處，進行了統一的過濾。

最後提一句，後面的程式碼會進入DatabaseRule，進行後續SQL規則比對。

Illuminate\Validation\Rules\DatabaseRule.php

這之後就沒有再進一步處理，接著形成了SQL注入。

更多Laravel相關技術文章，請造訪Laravel框架入門教學專欄進行學習！

以上是淺析PHP框架Laravel最新SQL注入漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！