php mongodb的防注入

最新推荐文章于 2024-12-02 22:35:57 发布
原创 最新推荐文章于 2024-12-02 22:35:57 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mongodb #php

本文探讨了在使用MongoDB时如何防范注入攻击,并提供了一个检查函数来确保输入的安全性。通过识别并排除特定的关键字,代码示例展示了如何在实际项目中应用这些策略,以增强系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       在还没有阅读:http://drops.wooyun.org/tips/3939这篇文章的时候,天真的以为不会发生注入的问题。事实狠狠扇了我一巴掌。记住任何时候用户的输入都不要相信。刚好项目中有使用mongodb,那就赶紧亡羊补牢吧。代码是简单了一点。还希望各位大牛多多指点。

/**
 * 检查变量类型和是否含有mongo关键字
 *
 * @param mixed $var 需要检查的变量
 * @param mixed $type 变量的类型
 * @param bool $multi 是否是多维数组
 * @return bool
 */
function checkIsSafeStr ($var, $type = 'string', $multi = FALSE)
{
    $type = is_array($type) ? array_map('strtolower', $type) : array(strtolower($type));

    //针对mongo注入做关键字检查
    $check = function ($string) {
        $banStrings = array('{', '}', '$ne', '$gte', '$gt', '$lt', '$lte', '$in', '$nin', '$exists', '$where', 'tojson', '==', 'db.');
        foreach ($banStrings as $str) {
            if (FALSE !== strpos(strtolower($string), $str)) {
                return FALSE;
            }
        }

        return TRUE;
    };
    if (is_array($var) && in_array('array', $type)) {
        foreach ($var as $name => $val) {
            if (!$check($name))
                return FALSE;

            if (FALSE === $multi && is_array($val)) {
                return FALSE;
            } else if (!self::checkIsSafeStr($val, $type, $multi)) {
                return FALSE;
            }
        }
        return TRUE;
    } else {
        $varType = strtolower(gettype($var));
        //先对类型检查
        if (!in_array($varType, $type)) {
            return FALSE;
        }

        return $check($var);
    }
}

更多关于可以到:

http://drops.wooyun.org/papers/850

http://webcache.googleusercontent.com/search?q=cache:fPNiwObqKcEJ:hi.baidu.com/d4rkwind/item/ad7b81efb799ce2e6dabb8c3+&cd=1&hl=zh-CN&ct=clnk&gl=cn

MongoDB注入
m0_48520508的博客
09-08 1166
#一、简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 二、注入 简单的语句执行,注入 这里我们有一个mongodb的数据库,数据库为test 执行了语句: db.test.find({username:’test’,password:’test’}); 如果此时传入的url如下: http://127.0.0
SQL手工注入漏洞测试(MongoDB数据库)
m0_75036923的博客
08-20 992
可以在此来显示想要查询的数据。通过回显观察到数据库为 mozhe_cms_Authority 其中tojson是可以把数据变成 json型数据,db为取当前数据库,即当前的数据库为 mozhe_cms_Authority。五.最终我们就可以获得数据了,将密码进⾏MD5解密,返回登录⻚进⾏登录,划倒⻚⾯最下 端就可以看到KEY了。三.得到数据库名之后就可以尝试爆出数据库下的表名了且构造Payload...其中db.getColl ectionNames() 返回⼀个包含当前数据库中所有集合名称的数组。
php mongo 防注入,php mongodb 注入_PHP教程
weixin_33894125的博客
03-27 198
下面就介绍下php+mongodb注入的方法和原理其中一篇帖子说:login.php?username=admin&passwd[$ne]=1就有可能注入,刚看的时候,我感觉挺纳闷的,这个怎么就存在注入漏洞了呢,终于从这篇帖子http://hi.baidu.com/hi_heige/item/ce93ce926dede4f428164747中发现了原因。因为PHP是可以直接提交array的...
【SQL注入技巧拓展】————12、MongoDB安全 – PHP注入检测
Fly_鹏程万里
12-25 562
什么是MongoDB MongoDB 是一个基于分布式文件存储的数据库。MongoDB是个开源的NoSql数据库,其通过类似于JSON格式的数据存储,这使得它的结构就变得非常自由。通过MongoDB的查询语句就可以查询具体内容。 为什么使用MongoDB 其实大部分原因只是因为MongoDB可以快速查找出结果,它大概可以达到10亿/秒。当然MongoDB很流行的另外一个原因是在很多应用场...
php mongodb 注入
kaosini的专栏
03-29 2086
转载请注明来源:http://blog.youkuaiyun.com/kaosini/article/details/8732566 这两天学习sqlmap这个工具的时候,突然想到一个问题:nosql是否也存在注入漏洞。于是上网搜索了一下午,得出来了个结论: php+mongodb的话还是存在有注入漏洞的asp.net+mongodb的话,暂时还没发现 下面就介绍下php+mongo
mongodb 注入攻防
quguilai2006的专栏
08-22 1107
1,数组注入   此时的攻击利用了php可以传递数组参数的一个特性。 当传入的url为:http://127.0.0.1/2.php?username=test&password=test 执行了语句: db.test.find({username:'test',password:'test'}); 如果此时传入的url如下: http://127.0.0.1/2.php...
Mongodb注入攻击
01-30
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,...
PHP操作MongoDB的注入攻击分析
MongoDB注入攻击是网络安全中的一种常见威胁,主要发生在使用PHP等编程语言与MongoDB数据库交互时。由于不当的数据处理或输入验证不足,攻击者可以通过构造恶意输入来执行非授权的操作,如窃取敏感数据、篡改数据库...
php mongo 防注入,使用PHP怎么对MongoDB数据库进行拦截
weixin_35058762的博客
03-27 182
使用PHP怎么对MongoDB数据库进行拦截发布时间:2020-12-22 17:01:35来源:亿速云阅读:107作者:Leah今天就跟大家聊聊有关使用PHP怎么对MongoDB数据库进行拦截,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。复制代码 代码如下://这里采用默认连接本机的27017端口,当然你也可以连接远程主机如192.168...
php+mongo下的注入学习
mgxcool的专栏
02-14 758
今天看了freebuf上的一篇介绍php环境下mongo注入的文章:www.freebuf.com/articles/database/95314.html 写的非常不错,于是自己也学习了一下,写个文章作为自己的总结。 由于mongo查询语法的特殊性,导致传统的sql注入攻击并不适用于mongodb的注入。但是在php环境下,因为php内的数组要求不是很严格,所以 有可能导致利用ph
mongodb数据库怎样注入攻击
weixin_35749440的博客
01-11 317
MongoDB是一种面向文档的数据库,它可以使用类似于JSON的BSON格式存储数据。在MongoDB中,注入攻击通常是通过插入恶意的BSON数据来执行恶意操作。这种攻击可能包括在查询中插入恶意代码,在数据库中修改或删除数据,或在数据库中插入恶意数据。为了防止MongoDB数据库受到注入攻击,应该使用参数化查询,并严格验证用户输入。应用程序应该使用最小特权原则,只给予用户必要的访问权限。 ...
mongodb数据库的查询语言是否可以被注入攻击
weixin_42581003的博客
01-11 351
MongoDB 使用的是基于文档的查询语言, 不存在类似 SQL 的字符串拼接的查询方式, 因此不会受到 SQL 注入攻击的影响。 然而,如果使用不当,依旧可能存在注入漏洞,比如使用不安全的字符串拼接方式来构造查询条件或者不对用户输入的数据进行过滤等等。 所以还是需要对代码进行严格的审查,保证安全性。 ...
“ NoSQL注入” – 40000个不安全的MongoDB数据库对我们行业意味着什么
danpu0978的博客
04-23 257
这个消息到处都是 …… 重大安全警报,因为40,000个MongoDB数据库在互联网上不安全 安全性是一个经常被忽视的功能,直到为时已晚。 而且,为时已晚,如果不进行大量的重构工作,通常很难将其烘焙成一个完善的体系结构。 每个系统以及每个数据库总是容易受到攻击。 但是,大多数数据库确实提供了大量实现安全层的功能-MongoDB与此处的任何其他DBMS都没有不同 。 那么,这个巨大...
MongoDB注入攻击测试与防御技术深度解析
weixin_43822401的博客
11-29 822
MongoDB注入攻击,是指攻击者通过向MongoDB查询语句中注入恶意代码,从而绕过应用程序的安全机制,获取、修改或删除数据库中的数据。这种攻击方式通常发生在应用程序未对用户输入进行充分验证或转义的情况下。
MONGODB 的基础 NOSQL注入基础
m0_64180167的博客
11-22 1900
首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb
sql漏洞注入,Oracle,MongoDB等注入(15)
san3144393495的博客
04-22 530
这一对比就发现access数据比其他数据库要低一个等级,在搭建网站的时候access网站,数据会保存到网站源码下面,就在他网站源码下面,换一个网站也是access,他们是互不相干的没有关系,像我们之前提到过跨库注入,mysql下面就可能存在数据a,数据库b,就可以通过数据a获取到数据库b信息,access就没有,因为他的数据库是独立村存在的,每一个网站就是自己的,不和其它网站相关,没有任何关系。之后再猜,猜不出来了,就只能用工具去跑出来,列名实在不知道,跑出来是passwd。
27017 - 永远的教训,MongoDB黑客事件和如何避免
最新发布
minstbe的博客
12-02 1289
话说疫情前,本人开发过一款针对社交媒体的的SaaS应用,为了存储用户的操作日志,选用了MongoDB。一切看似顺风顺水,直到有一天,用户反馈应用无法使用。我急忙登录数据库检查,却发现数据全没了,取而代之的是一条挑衅的信息:“恭喜你,被黑了!打入某账户0.00x个比特币后,交回数据库!” 那一刻,我简直想哭。原来,那会儿初次接触MongoDB,在忙碌的开发中忘了一件大事——给MongoDB设置密码!黑客使用 ip+port 轻松进入了我的数据库中。。。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值