代码审计-php篇之某CRM系统多处sql注入

<?php
// 假设这是CRM系统中的一个函数，用于获取某个客户的信息
function getCustomerInfo($customerId) {
    // 连接数据库
    $db = new mysqli('localhost', 'username', 'password', 'database');
 
    // 检查连接
    if ($db->connect_error) {
        die('连接失败: ' . $db->connect_error);
    }
 
    // 构造SQL查询语句，未进行过滤
    $sql = "SELECT * FROM customers WHERE id = $customerId";
 
    // 执行SQL查询
    $result = $db->query($sql);
 
    // 检查结果
    if ($result) {
        // 获取结果并输出
        while ($row = $result->fetch_assoc()) {
            echo '客户ID: ' . $row['id'] . ' - 姓名: ' . $row['name'] . '<br>';
        }
    } else {
        echo '查询失败: ' . $db->error;
    }
 
    // 关闭数据库连接
    $db->close();
}
 
// 使用函数获取客户信息，但未对$customerId进行过滤
getCustomerInfo(5);

这个示例代码中的getCustomerInfo函数用于获取特定客户ID的信息。它构造了一个SQL查询，但是没有对客户ID进行过滤，这就导致了SQL注入漏洞。攻击者可以通过传递恶意的$customerId值来改变查询语句，执行未经授权的操作，如读取数据库中的其他数据或执行恶意的SQL命令。

解决方法是对用户输入进行适当的过滤或验证，例如使用预处理语句和绑定参数，或者对$customerId进行整数验证。

<?php
function getCustomerInfo($customerId) {
    // 连接数据库
    $db = new mysqli('localhost', 'username', 'password', 'database');
 
    // 检查连接
    if ($db->connect_error) {
        die('连接失败: ' . $db->connect_error);
    }
 
    // 使用预处理语句，安全地执行查询
    $stmt = $db->prepare("SELECT * FROM customers WHERE id = ?");
    $stmt->bind_param('i', $customerId); // 'i'表示整数绑定
    $stmt->execute();
 
    $result = $stmt->get_result();
 
    while ($row = $result->fetch_assoc()) {
        echo '客户ID: ' . $row['id'] . ' - 姓名: ' . $row['name'] . '<br>';
    }
 
    // 关闭数据库连接
    $db->close();
}
 
// 使用函数并确保$customerId是整数
getCustomerInfo(5);

在这个修复的代码中，使用了mysqli的预处理语句和参数绑定，这是防止SQL注入的最佳实践。参数类型使用'i'表示整数，确保传入的$customerId被当作整数处理，防止了SQL注入的风险。