PHP知名開發框架Laravel,之前在官方部落格通報了一個高風險SQL注入漏洞,這裡簡單分析下。
首先,這個漏洞屬於網站coding寫法不規範,官方給了提示:
但官方還是做了修補,升級最新版本V5.8.7可修復。
我們先定位下這裡:
Illuminate\Validation\Rule
官方推薦的寫法是:
Rule::unique('users')->ignore($id),
如果網站coding沒有預先對$id的值做處理時,使用者可以直接傳遞惡意資料給ignore函數,就會導致SQL注入。
我們來跟一下函數:
\Illuminate\Validation\Rules\Unique.php class Unique {
... public function ignore($id, $idColumn = null) { if ($id instanceof Model) { return $this->ignoreModel($id, $idColumn);
} $this->ignore = $id; $this->idColumn = $idColumn ?? 'id'; return $this;
}這裡我們不考慮把$id寫成實例的情況,$id是用戶可控的話,$idColumn直接寫成空即可,最後賦值情況如下:
$this->ignore = $id; $this->idColumn = 'id';
如果網站程式碼類似這樣建構的話,駭客輸入的值就屬於可控狀態:
$id = $request->input('id');
最後我們會走到這裡:
Illuminate\Validation\Rules\Unique.php public function __toString() {
...
...
}我們看下關鍵的程式碼變更:
Illuminate\Validation\Rules\Unique.php
V5.8.7【最新版】 public function __toString() { $this->ignore ? '"'.addslashes($this->ignore).'"' : 'NULL',
}
Illuminate\Validation\Rules\Unique.php
V5.8.4 public function __toString() { $this->ignore ? '"'.$this->ignore.'"' : 'NULL',
}這裡最新的程式碼v5.8.7,把$this->ignore直接給addslashes了,以前這裡是沒有防護的。
有趣的是,筆者對比了下diff,期間官方也試圖對其他引用的地方進行過濾。最後還是在__toString處,進行了統一的過濾。
最後提一句,後面的程式碼會進入DatabaseRule,進行後續SQL規則比對。
Illuminate\Validation\Rules\DatabaseRule.php
這之後就沒有再進一步處理,接著形成了SQL注入。
更多Laravel相關技術文章,請造訪Laravel框架入門教學專欄進行學習!
以上是淺析PHP框架Laravel最新SQL注入漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章!
最後的Laravel版本:遷移教程May 14, 2025 am 12:17 AMLaravel的遷移系統在最新版本中提供了哪些新功能和最佳實踐? 1.新增了nullableMorphs()用於多態關係。 2.引入了after()方法來指定列順序。 3.強調處理外鍵約束以避免孤立記錄。 4.建議優化性能,如適當添加索引。 5.提倡遷移的冪等性和使用描述性名稱。
保持更新:最新的Laravel版本中的最新功能May 14, 2025 am 12:10 AMLaravel的最新版本引入了多個新功能:1.LaravelPennant用於管理功能標誌,允許分階段發布新功能;2.LaravelReverb簡化了實時功能的實現,如實時評論;3.LaravelVite加速了前端構建過程;4.新的模型工廠系統增強了測試數據的創建;5.改進了錯誤處理機制,提供了更靈活的錯誤頁面自定義選項。
在Laravel中實現軟刪除:逐步教程May 14, 2025 am 12:02 AMSoftleteTeinElelelverisling -Memptry -BraceChortsDevetus -teedeeceteveveledeveveledeecetteecetecetecedelave
當前Laravel版本:檢查最新版本和更新May 14, 2025 am 12:01 AMlaravel10.xisthecurrentversion,offeringNewFeaturesLikeEnumSupportineloQuentModelsAndModersAndImpreverModeModeModelBindingWithenums.theSeupDatesEupDatesEnhanceCodereadability andSecurity andSecurity和butquirecareecarefulecarefulecarefulplanninganninganningalmplementAlimplemplemplemplemplemplempletationForupforupsupflade。
如何使用Laravel遷移:逐步教程May 13, 2025 am 12:15 AMlaravelmigrationsStreamLinedAtabasemangementbyallowingbolAlyChemachangeStobEdeDinedInphpcode,whobeversion-controllolleDandShared.here'showtousethem:1)createMigrationClassestodeFinePerationFineFineOperationsLikeCreatingingModifyingTables.2)
查找最新的Laravel版本:快速簡便的指南May 13, 2025 am 12:13 AM要查找最新版本的Laravel,可以訪問官方網站laravel.com並點擊右上角的"Docs"按鈕,或使用Composer命令"composershowlaravel/framework|grepversions"。保持更新有助於提升項目安全性和性能,但需考慮對現有項目的影響。
使用Laravel的更新:使用最新版本的好處May 13, 2025 am 12:08 AMyoushouldupdateTotheLateStlaravelVerverSionForPerformanceImprovements,增強的安全性,newfeatures,BetterCommunitySupport,and long-term-Maintenance.1)績效:Laravel9'Selover9'seloquentormoptimizatizationenenhanceApplicationsPeed.2)secuse:laravel8InIntrododeDodecter.2)
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
SublimeText3漢化版
中文版,非常好用
Dreamweaver Mac版
視覺化網頁開發工具
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
