Yii2数据安全查询,防止sql注入漏洞

最新推荐文章于 2024-11-19 00:56:07 发布
转载 最新推荐文章于 2024-11-19 00:56:07 发布 · 1w 阅读 · 2

本文探讨了在Yii2框架中如何避免SQL注入攻击。通过对比不同查询方式,阐述了参数化查询的重要性,并提供了安全实践建议。


1
$id = Yii::$app->request->get('id','');//get获取参数


1.1 直接把获取的$id代入(有问题)

1
2
3
4
5
$sql     = "SELECT * FROM   tab WHERE id = {$id}";
$db      = \Yii::$app->db;
$command = $db->createCommand($sql);//存在注入漏洞,方法内部并未对$id进行过滤或其它处理
$result  = $command->queryAll();
var_dump($result);


1.2 增加一个参数,Yii内部方法会将其参数化

1
2
3
4
5
$sql     = "SELECT * FROM   tab WHERE id = :id";
$db      = \Yii::$app->db;
$command = $db->createCommand($sql, [':id'=>$id]);//方法内部对第二个参数进行PDO参数化,不会导致注入漏洞
$result  = $command->queryAll();
var_dump($result);

[':id' => $id] 是数组的简写(php5.4+支持,Yii2也需要php5.4+才支持),等同于array(':id' => $id)



2.1 直接把获取的$id代入(有问题)

1
2
3
//Tab是Model,与数据库中的Tab表对应
$result = Tab::findAll("id={$id}");//参数为字符串,方法内部不会进行过滤,导致注入漏洞
var_dump($result);


2.2 参数为数组的写法,Yii内部方法会将其参数化

1
2
$result = Tab::findAll(['id' => $id]);//参数为数组,方法内部调用PDO进行参数化,不会导致注入漏洞
var_dump($result);


以上有导致漏洞的写法是由于没有对用户输入的$id进行过滤,编写代码的人又没对输入的数据进行处理(Yii2 的GET POST REQUEST等不过滤用户输入的数据。论坛上有人问过Yii的作者为什么不过滤,作者说是为了防止把“好”数据过滤掉)


自己写过滤方法防止sql注入早已过时,一般都采用参数化的方式,PDO((PHP Data Object)支持参数化,php5.1+就能支持PDO连接MySql。其它语言如.net中也都是推荐使用参数化而不是拼接sql的方式。


所以并不是使用框架就不会导致sql注入或者XSS等,一是要看你使用什么框架,一是写法要符合规则才能使其中的安全机制起作用。


BTW,Yii2中,对输出的数据也要调用其方法html::encode()或php自身的函数htmlspecialchars()或htmlenocde()进行编码或过滤防止XSS。


------------参数化的模糊查询------------------------------------------

 使用如下语句将导致错误:


  1. $books = \Yii::$app->db->createCommand("SELECT * FROM  book1 where book_title like '%:keywords%'  order by addtime desc")->bindValue(":keywords",$_GET['keywords'])->queryAll();  
$books = \Yii::$app->db->createCommand("SELECT * FROM  book1 where book_title like '%:keywords%'  order by addtime desc")->bindValue(":keywords",$_GET['keywords'])->queryAll();


      实际执行的语句为


可以看到经过该函数防sql注入处理之后的 $_GET['keywords'] ,自动为上传的关键字加上了单引号,导致执行的SQL语句无法正常查询出来结果,无法把数据库存在的《算法》 查询出来。 

        经过查询资料,更换了以下的接口函数,可以既实现模糊查询,又可以实现防SQL注入。


  1. $db = new \yii\db\Query;         
$db = new \yii\db\Query;       
  1. $books$db->from('book1')->where("book_title like :keywords")->addParams([':keywords'=>'%'.$_GET['keywords'].'%'])->orderBy('addtime DESC')->all();  
$books= $db->from('book1')->where("book_title like :keywords")->addParams([':keywords'=>'%'.$_GET['keywords'].'%'])->orderBy('addtime DESC')->all();



奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-05 429
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞(含批量验证poc)
数字通指尖云平台智慧政务平台存在SQL注入漏洞
weixin_43567873的博客
03-29 302
数字通指尖云平台智慧政务平台存在SQL注入漏洞
Yii2 反序列化漏洞(CVE-2020-15148)复现
玄道的网安博客
12-16 9866
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii22.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
YII2 防止SQL注入
郝一朵
09-26 769
1.原生查询 $sql="select * from goods where goods_id=1"; $data=Goods::findBySql($sql)->all(); SQL注入 $sql = "select * from article where id=".$id; //若前台接受的$id,是字符串 $id = '1 or 1=1'; //此时的sql,将把数据库中的数据全查出来 $sql = "select * from article where
for dianming system
bonlog的专栏
10-20 761
-- phpMyAdmin SQL Dump -- version 3.5.2.2 -- http://www.phpmyadmin.net -- -- Host: 127.0.0.1 -- Generation Time: Oct 20, 2014 at 11:05 AM -- Server version: 5.5.27 -- PHP Version: 5.4.7 SET SQL_MODE=
yii2.0--模型防止SQL注入
张默的博客
06-05 552
get获取方式防止SQL注入(localhost/index.php?r=home/index&id=1;drop%20table%20user;--) namespace app\controller; use app\models\User; public function actionIndex() { $request = \Yii::$app->request...
yii2 数据查询(防sql注入
zhangzhangdan的博客
07-12 1673
1、查询2.删除3.添加(修改)
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8372
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
Yii 实现数据加密和解密的示例代码
10-15
Yii框架是PHP开发中常用的一个高性能的MVC(模型-视图-控制器)框架,它提供了许多便捷的功能,包括数据加密和解密。...同时,配合其他安全措施,如输入验证、SQL注入防护等,可以构建出更健壮的应用。
从一个Laravel SQL注入漏洞开始的Bug Bounty之旅
离别歌
08-30 2918
事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程。本文提到的漏洞《Cachet SQL注入漏洞(CVE-2021-39165)》已经修复,也请读者勿使用该...
Yii框架防止sql注入,xss攻击与csrf攻击的方法
01-20
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta($str); $str=htmlspecialcha
Yii注入攻击笔记
09-09
Yii注入攻击笔记,本人开发多年作的笔记
yiisql注入
zhangzhangdan的博客
07-24 1151
sql注入就是通过sql语句拼接的一种攻击方式,通常都是以这样的形式出现 那么yii框架中是怎么防护的呢 附加: 防sql一般也用到过这个函数:addslashes来转义接收字符...
yii2如何实施输入验证、输出过滤和SQL注入防护等安全措施,确保应用安全?
最新发布
长风破浪会有时的博客
11-19 441
return [return [通过上述方法,你可以有效地在 Yii2 中实施输入验证、输出过滤和 SQL 注入防护等安全措施,确保应用程序的安全性。这些措施不仅提高了应用的安全性,还增强了代码的可维护性和健壮性。
使用Yii2编程:安全性
代码教主
06-15 486
如果您问“ Yii是什么?” 查阅 Yii Framework简介 ,其中 介绍了Yii 的优点,并概述了Yii 2.0。 在本使用Yii2编程系列中 ,我指导读者使用PHP的Yii2框架。 如果您打算与公众共享您的应用程序,则需要它是安全的,最好是从头开始进行规划。 幸运的是,从诸如Yii之类的框架开始使此过程比以前容易得多。 如Yii功能中所述 : Yii配备了许多安全措施,可帮助...
YII2框架学习 安全篇(四) sql注入攻击和防范
混血王子的博客
06-21 3320
先看百度百科的介绍,SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即S
yii2模糊查询并且防SQL注入
青春已被放纵了 的博客
12-15 2945
yii2模糊查询并且防SQL注入
Yii文件包含漏洞分析
springgold的博客
05-20 2042
yii文件包含漏洞 触发点 public function actionIndex() { // $this->render('index'); $name =Yii::app()->request->getParam( 'name' ); $this->render('index', $name); } render 函数 public function render($view, $para
yii2过滤xss代码,防止sql注入教程
luyaran的博客
12-05 2191
实际开发中,涉及到的语言也好,框架也罢,web安全问题总是不可避免要考虑在内的,潜意识中的考虑。 意思就是说喃,有一条河,河很深,在没办法游过去的情况下你只能沿着河上唯一的一座桥走过去。 好啦,我们看看在yii框架的不同版本中是怎么处理xss攻击,sql注入等问题的。 啥啥啥,xss是啥,sql注入又是啥?哦我的天呐,不好意思,我也不知道,这个您问问小度小哥都行,随您。 通俗的说喃,就是两
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值