Laravel Bindings 的一处安全隐患
1 / 2 / 创建于 4年前 /
李铭昕 的个人博客
相关 PR 如下
以下的代码使用 8.x 的代码测试,这个问题
6.x与7.x版本同样存在
原因#
我们先看一下未修改前的代码表现,我们使用 laravel/framework 组件的 8.22.0 版本进行实现。
表结构如下
CREATE TABLE `test` (
`id` int(11) unsigned NOT NULL AUTO_INCREMENT,
`uid` int(10) unsigned NOT NULL DEFAULT '0',
`type` int(10) unsigned NOT NULL DEFAULT '0',
`created_at` datetime DEFAULT NULL,
`updated_at` datetime DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;如果我们对入参都检测的很清楚,比如以下情况
Route::get('/', function () {
DB::enableQueryLog();
$data = Test::query()->where('uid', 1)->where('type', 0)->get();
var_dump(count($data));
var_dump(DB::getQueryLog());
return 'Hello World.';
});显然结果是符合预期的
int(1)
array(1) {
[0]=>
array(3) {
["query"]=>
string(51) "select * from `test` where `uid` = ? and `type` = ?"
["bindings"]=>
array(2) {
[0]=>
int(1)
[1]=>
int(0)
}
["time"]=>
float(10.07)
}
}
Hello World.但,如果我们的 uid 是通过接口传入进来,但又没有对其进行检测,那么就会导致 uid 可能传入一个数组。
Route::get('/', function () {
try {
DB::enableQueryLog();
$data = Test::query()->where('uid', [1, 1])->where('type', 0)->get();
var_dump(count($data));
var_dump(DB::getQueryLog());
return 'Hello World.';
} catch (\Throwable $exception) {
return 'Server Error';
}
});那么结果就会天差地别
int(2)
array(1) {
[0]=>
array(3) {
["query"]=>
string(51) "select * from `test` where `uid` = ? and `type` = ?"
["bindings"]=>
array(3) {
[0]=>
int(1)
[1]=>
int(1)
[2]=>
int(0)
}
["time"]=>
float(9.24)
}
}
Hello World.第一个查询的 SQL 是 select * from test where uid = 1 and type = 0
而后来的查询却是 select * from test where uid = 1 and type = 1
当然,你可能认为这并没有什么,但如果你的 SQL 是更新操作呢,又如果你的 user_id 不幸放到了后面呢?那岂不是所有的用户都可以改改自己的接口入参,修改到别人的数据?
Laravel 的修改#
接下来,让我们看一下 Laravel 的修改办法,其实核心就是一个,那就是如果发现入参是 Array,就主动使用 head 方法取 Array 的第一个元素。
让我们更新 laravel/framework 组件到 8.24.0 再看。
int(1)
array(1) {
[0]=>
array(3) {
["query"]=>
string(51) "select * from `test` where `uid` = ? and `type` = ?"
["bindings"]=>
array(2) {
[0]=>
int(1)
[1]=>
int(0)
}
["time"]=>
float(11.33)
}
}
Hello World.从结果上看,确实似乎解决了上面的问题,但实则引入了一个更加严重的隐患,将安全隐患变成了事故隐患。
可能存在的事故隐患#
以下代码都是基于这次修改,我本人是不会这么写代码的
首先,我们假定,开发者已经知道了上述问题,而且他认为上述情况也是合理的,也是这么用的。
那么 Laravel 的这次修改,并不会报任何错,但代码含义却完全不同,本来用户就想修改 type=1, user_id=1 的记录,一旦框架去掉了后面的数据,那搞不好就修改成了 type=1, user_id=0 的记录。
如果 user_id = 0 代表的含义是没有用户 ID 的记录,岂不是一口气将所有非用户产生的消息全部修改掉。。
而且最可怕的是,开发者并不知情,就算哪天发现了这个问题,数据也已经很难回滚了。
结论#
所以,我认为还是应该直接抛出错误
/**
* Get a scalar type value from an unknown type of input.
*
* @param mixed $value
* @return mixed
*/
protected function flattenValue($value)
{
if(is_array($value)){
throw new \InvalidArgumentException();
}
return $value;
}那么刚刚的代码就会出现以下情况
Server Error写在最后#
Hyperf 是基于 Swoole 4.4+ 实现的高性能、高灵活性的 PHP 协程框架,内置协程服务器及大量常用的组件,性能较传统基于 PHP-FPM 的框架有质的提升,提供超高性能的同时,也保持着极其灵活的可扩展性,标准组件均基于 PSR 标准 实现,基于强大的依赖注入设计,保证了绝大部分组件或类都是 可替换 与 可复用 的。
框架组件库除了常见的协程版的 MySQL 客户端、Redis 客户端,还为您准备了协程版的 Eloquent ORM、WebSocket 服务端及客户端、JSON RPC 服务端及客户端、GRPC 服务端及客户端、Zipkin/Jaeger (OpenTracing) 客户端、Guzzle HTTP 客户端、Elasticsearch 客户端、Consul 客户端、ETCD 客户端、AMQP 组件、Apollo 配置中心、阿里云 ACM 应用配置管理、ETCD 配置中心、基于令牌桶算法的限流器、通用连接池、熔断器、Swagger 文档生成、Swoole Tracker、Blade 和 Smarty 视图引擎、Snowflake 全局 ID 生成器 等组件,省去了自己实现对应协程版本的麻烦。
Hyperf 还提供了 基于 PSR-11 的依赖注入容器、注解、AOP 面向切面编程、基于 PSR-15 的中间件、自定义进程、基于 PSR-14 的事件管理器、Redis/RabbitMQ 消息队列、自动模型缓存、基于 PSR-16 的缓存、Crontab 秒级定时任务、Translation 国际化、Validation 验证器 等非常便捷的功能,满足丰富的技术场景和业务场景,开箱即用。
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: