发现一个可能会被注入的地方

bug问题 · sumic · 于 5年前 发布 · 1809 次阅读 
// 明确了指定要搜索的列,在此处传递标量或数组将始终只是查找出单个记录而已
$model = Post::findOne(['id' => Yii::$app->request->get('id')]);

// 不要使用下面的代码!可以注入一个数组条件来匹配任意列的值!
$model = Post::findOne(Yii::$app->request->get('id'));

service里面的public function getByPrimaryKey($primaryKey) $one = $this->_model->findOne($primaryKey); 都是直接代入了id,有注入风险。

0 个赞 感谢 关注 收藏
共收到 4 条回复
Fecmall#15年前 0 个赞

这个bug,Yii2官方已经修复了吧?

Fecmall#35年前 0 个赞

https://github.com/yiisoft/yii2/pull/15688/commits/8beeb0545bceb9bb52e7304e187b839396bc3fb0

找到了,yii2已经修复这个问题了

 fix ActiveRecord findByCondition

Exploit example:
// REQUEST: http://localhost/test/test?id[%60id%60%3D%60id%60%20and%201]=1
public function actionTest()
{
    $id = Yii::$app->request->get('id');
    var_dump($id); // Id параметр приходит как массив
    $user = User::findOne($id); // Find one стал использоваться посвсеместно, тк. в мануалах идет именно он, и старую функцию findByPk убрали. При этом ключи массива не проверяются, добавляются как есть.
    // SQLREQUEST: SELECT * FROM `user` WHERE `id`=`id` and 1='1'
    var_dump($user);
}

fecshop 现在需要使用 "yiisoft/yii2": ">=2.0.15" ,, https://github.com/fecshop/yii2_fecshop/blob/master/composer.json

因此,这样写没问题的

sumic#45年前 0 个赞

恩,那就没事儿了。可能是官方API没有更新手册。

添加回复 (需要登录)
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册
FECMALL
FECMALL 是一个真正开源的电商商城,公司项目商用免费授权
现在注册
已注册用户请  登录
fecify

重要公告

Fecmall一览表

作者Terry寄语

Fecmall-2.x在持续开发中, 后面的工作主要是增强fecmall的用户体验,以及做模板插件周边市场,修复fecmall的bug和添加一些特殊必要性的功能, 欢迎各位在自己的电商项目使用fecmall, 对于官方fecmall后面的功能的添加,会以独立扩展插件的形式制作,而不是在fecmall主体上面 添加, 有问题在论坛发帖,帖子一般在24小时内回复, 论坛发帖,这样可以形成 积累,同样的问题回答一次,后面的人可以通过搜索 找到历史帖子解决问题,节省时间 ,Fecmall的流行离不开大家的努力!
致谢!
Your Site Analytics