代码审计-php篇之某CRM系统多处sql注入
warning:
这篇文章距离上次修改已过188天,其中的内容可能已经有所变动。
<?php
// 假设这是CRM系统中的一个函数,用于获取某个客户的信息
function getCustomerInfo($customerId) {
// 连接数据库
$db = new mysqli('localhost', 'username', 'password', 'database');
// 检查连接
if ($db->connect_error) {
die('连接失败: ' . $db->connect_error);
}
// 构造SQL查询语句,未进行过滤
$sql = "SELECT * FROM customers WHERE id = $customerId";
// 执行SQL查询
$result = $db->query($sql);
// 检查结果
if ($result) {
// 获取结果并输出
while ($row = $result->fetch_assoc()) {
echo '客户ID: ' . $row['id'] . ' - 姓名: ' . $row['name'] . '<br>';
}
} else {
echo '查询失败: ' . $db->error;
}
// 关闭数据库连接
$db->close();
}
// 使用函数获取客户信息,但未对$customerId进行过滤
getCustomerInfo(5);这个示例代码中的getCustomerInfo函数用于获取特定客户ID的信息。它构造了一个SQL查询,但是没有对客户ID进行过滤,这就导致了SQL注入漏洞。攻击者可以通过传递恶意的$customerId值来改变查询语句,执行未经授权的操作,如读取数据库中的其他数据或执行恶意的SQL命令。
解决方法是对用户输入进行适当的过滤或验证,例如使用预处理语句和绑定参数,或者对$customerId进行整数验证。
<?php
function getCustomerInfo($customerId) {
// 连接数据库
$db = new mysqli('localhost', 'username', 'password', 'database');
// 检查连接
if ($db->connect_error) {
die('连接失败: ' . $db->connect_error);
}
// 使用预处理语句,安全地执行查询
$stmt = $db->prepare("SELECT * FROM customers WHERE id = ?");
$stmt->bind_param('i', $customerId); // 'i'表示整数绑定
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo '客户ID: ' . $row['id'] . ' - 姓名: ' . $row['name'] . '<br>';
}
// 关闭数据库连接
$db->close();
}
// 使用函数并确保$customerId是整数
getCustomerInfo(5);在这个修复的代码中,使用了mysqli的预处理语句和参数绑定,这是防止SQL注入的最佳实践。参数类型使用'i'表示整数,确保传入的$customerId被当作整数处理,防止了SQL注入的风险。
评论已关闭