Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

小程序刚审核通过就被sql注入

问答 / 12 / 65 / 创建于 2年前 / 更新于 2年前

账号用的是openid作为账号,登录的时候存在就登录,不存在就登录注册,目前没有做验证,打算增加个token,有没有很好的建议?laravel框架怎么防止sql注入?注意点在哪里

小程序刚审核上线测试就被sql注入

my38778570
767 声望
以梦为马
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
MArtian
版主 3.8k 声望
最佳答案

嗯...我想起来之前做的一个项目也是小程序被 SQL 注入的过程,也是在注册时发生的,我描述一下场景,你看看是不是你的情况:

  1. 用户发起授权,传一个 code 给后端,后端解析小程序 session,返回给前端
  2. 在前端再在把微信用户信息传给我,此时,是可以直接取到前端传给我的 wx_open_id 的
  3. 我当时就是直接把前端回传的 open_id 直接写库了,然后就凉凉了。

后来我在解析 session 的时候获取到的 open_id 写入缓存了,给一个 5 分钟的有效期,前端在授权成功再次请求创建用户接口时,我到缓存中去取 open_id ,如果两个值相等才创建用户,这个是比较容易被疏忽的部分,你看下你的是不是也和我犯了一样的错误。

前端传递的 open_id 字段不可信。

2年前 评论
23tl 2年前
@MArtian 为什么不在服务端对用户数据进行解密,而是要求前端传递用户的 openid ?
my38778570 (楼主) 2年前
是的,但是要怎么验证,刚刚有位兄弟说有个小程序认证
my38778570 (楼主) 2年前
只要认证是小程序返回的就可以防止了
MArtian (作者) 2年前
@my38778570 很简单啊,你看看你前端接口有没有传 open_id 的地方
MArtian (作者) 2年前
@23tl 哈哈,当时没注意这块
23tl 2年前
@MArtian 正常开发根本就不允许前端传递用的 openid 参数,而且 web 开发第一条铁律不就是不要相信用户传递数据的正确性嘛
陈先生 2年前
我没记错的话,用户的信息不都是解密出来的么???
1
讨论数量: 65

高认可度评论:

Summer
站长 11.3k 声望 / 维护者 @ LearnKu.com

更多: learnku.com/laravel/search?q=sql%E...

2年前 评论
11
chuoke
Laravel 8.x 译者 532 声望

你这数据都正常插入了,说明已经防住了,剩下的就是你的业务逻辑验证要加强了

2年前 评论
7
排序:
时间 投票
Summer
站长 11.3k 声望 / 维护者 @ LearnKu.com

更多: learnku.com/laravel/search?q=sql%E...

2年前 评论
11
忆往昔弹指间
620 声望

laravel的db操作是自带防注入的,检查一下你是否使用了原生语句,或者字符串拼接操作

2年前 评论
my38778570 (楼主) 2年前
没有,他是通过注册sql注入的
派大旺
课程读者 19 声望

方案1 : 走openid

后端自己用 js_code 去获取openid 信息, 走注册功能

方案2 : 走项目自己的注册功能

加验签功能, 前端传输字段增加 sign
通过排序请求参数等,前后端统一加密算法, 验证数据合法性
合法则注册
不合法忽略
再做个 ip 黑名单, 这个ip 直接拒绝请求就好了

2年前 评论
诺大的院子 2年前
前端作签名?
派大旺 (作者) 2年前
@诺大的院子 对啊 用统一的方式比如 : 请求参数排序,用键值对形式拼接 string, 用自己的方式加盐加密等操作, 前后端对应就好了呀
1
chuoke
Laravel 8.x 译者 532 声望

你这数据都正常插入了,说明已经防住了,剩下的就是你的业务逻辑验证要加强了

2年前 评论
7
风吹过有夏天的味道
课程读者 336 声望 / php小菜鸟 @ myself

怎么没有用小程序的认证呢

2年前 评论
my38778570 (楼主) 2年前
有文档吗?我看看
MArtian
版主 3.8k 声望

嗯...我想起来之前做的一个项目也是小程序被 SQL 注入的过程,也是在注册时发生的,我描述一下场景,你看看是不是你的情况:

  1. 用户发起授权,传一个 code 给后端,后端解析小程序 session,返回给前端
  2. 在前端再在把微信用户信息传给我,此时,是可以直接取到前端传给我的 wx_open_id 的
  3. 我当时就是直接把前端回传的 open_id 直接写库了,然后就凉凉了。

后来我在解析 session 的时候获取到的 open_id 写入缓存了,给一个 5 分钟的有效期,前端在授权成功再次请求创建用户接口时,我到缓存中去取 open_id ,如果两个值相等才创建用户,这个是比较容易被疏忽的部分,你看下你的是不是也和我犯了一样的错误。

前端传递的 open_id 字段不可信。

2年前 评论
23tl 2年前
@MArtian 为什么不在服务端对用户数据进行解密,而是要求前端传递用户的 openid ?
my38778570 (楼主) 2年前
是的,但是要怎么验证,刚刚有位兄弟说有个小程序认证
my38778570 (楼主) 2年前
只要认证是小程序返回的就可以防止了
MArtian (作者) 2年前
@my38778570 很简单啊,你看看你前端接口有没有传 open_id 的地方
MArtian (作者) 2年前
@23tl 哈哈,当时没注意这块
23tl 2年前
@MArtian 正常开发根本就不允许前端传递用的 openid 参数,而且 web 开发第一条铁律不就是不要相信用户传递数据的正确性嘛
陈先生 2年前
我没记错的话,用户的信息不都是解密出来的么???
1
ononl
198 声望

使用js_code去换取openid不就行了.这样保存在数据库的openid就是对的,前端传的肯定不能信

2年前 评论
my38778570 (楼主) 2年前
是的,犯了这个错误,js_code返回的时候我应该缓存起来跟前端传过来的做对比做插入使用
小学毕业生
课程读者 176 声望

为什么我就没有这么幸运呢

2年前 评论
my38778570 (楼主) 2年前
我还想说,刚上线,这是咋盯上的
小学毕业生 (作者) 2年前

@my38778570 目前来说, 我都没有碰到过来扫的. 你也是直接入库操作了

    /**
     * 根据微信手机号码登录.
     * @param Request $request
     * @return \Illuminate\Http\JsonResponse|\Illuminate\Http\Response
     * @throws \EasyWeChat\Kernel\Exceptions\InvalidConfigException
     */
    public function wechatToken(Request $request)
    {
        $input = $request->only(['code', 'encryptedData', 'iv']);

        if($user = $this->checkCodeUser($request->input('code')))
            return $this->createToken($user->phone, $user->program_id);


        try {
            $decryptedData = WechatAuth::decryptData($this->session->session_key, $input['iv'], $input['encryptedData']);

            $phone = $decryptedData['purePhoneNumber'];


            if($user = User::firstWhere('username', $phone)) {
                if(!$user->program_id) $user->update(['program_id' => $this->session->openid]);

                return $this->createToken($user->phone, $user->program_id);
            }

            return ($user = $this->createUser($phone, $this->session->openid))
                ? $this->createToken($user->phone, $user->program_id)
                : $this->responseWithout('请联系客服开通帐号', [$this->session], 403);

        } catch (\Exception $e) {
            return $this->responseWithout('授权失败', [$e->getMessage()], 403);
        }
    }
my38778570 (楼主) 2年前
@yangjisen 我记得以前做公众号授权的时候是要跳页面的,授权和登录分开两个步骤,我搞错了
李铭昕
612 声望 / 作者 @ Hyperf

你 openid 是前端传给你的??不应该是后端解密的么。。。

2年前 评论
my38778570 (楼主) 2年前
嗯是的
t918412
31 声望

记得微信小程序 后端可根据code 获取 openid 与 session_key 然后可以根据session_key 解密前端传的加密信息

2年前 评论
my38778570 (楼主) 2年前
嗯,我步骤搞错了
巴啦啦臭魔仙
见习版主 300 声望

我记得openid是固定多少位的,可以设置个char类型定长截断一下。 你可以在插入用户数据的时候使用字符串查询的方式看看里面有没有 select 、where 的一些sql关键字,用来过滤一下

2年前 评论
my38778570 (楼主) 2年前
32位
巴啦啦臭魔仙 (作者) 2年前
@my38778570 嗯嗯可以做个长度限制和过滤
my38778570 (楼主) 2年前
@巴啦啦臭魔仙 嗯,不过实际上我逻辑错了
巴啦啦臭魔仙 (作者) 2年前
@my38778570 哦哦,那问题不大,吃一堑长一智
my38778570 (楼主) 2年前
@巴啦啦臭魔仙 openid不能经过前端的
勇敢的心
见习助教 845 声望

我是不是理解错了?你这不是sql注入吧?就是黑客通过你的注册接口写入无效数据而已,然后你没有验证openid :joy:

2年前 评论
my38778570 (楼主) 2年前
如果你用原生,上面是拼接的,就是注入了
my38778570 (楼主) 2年前
腾讯云注入的,写入数据时因为防止了,然后我是没有验证,因为我以前做公众号授权的时候是分获取openid和注册两个步骤,小程序是可以合在一个接口登录注册的,我忘记了
2
php_yt
1.1k 声望

小程序接口是暴露的,数据校验、防刷、防攻击

2年前 评论
1
wfffff
1 声望

用授权按钮 传给你的code 你服务端获取到openid直接存起来 不用前端传 自己再写一套token验证用来登录

2年前 评论
my38778570 (楼主) 2年前
是的
Imuyu
课程读者 861 声望

这个不算是sql注入,顶多是他用注入的方式绕过了验证,注册了无效的用户,本质你注册业务没有验证合法来源,加强注册验证吧,比如限流,授权open_id后端获取,或者动态加密再给到前段

2年前 评论
my38778570 (楼主) 2年前
如果你用的是原生,通过openid查询用户是否存在的时候,是sql注入了把?
Su 2年前
@my38778570 这属于视图SQL注入,但是没成功
my38778570 (楼主) 2年前
@Su 其他方式是怎么注入的?
Imuyu (作者) 2年前
@my38778570 open_id不应该有外部传入,应该有后端解密微信数据获取,如果一定要前端传过来,可以先后端获取加密后,再传给前端
my38778570 (楼主) 2年前
@Imuyu 是的
1
putyy
140 声望

看了评论 不多说了 ! 小伙子 经过这次你会成长很多的

2年前 评论
my38778570 (楼主) 2年前
是的
寞小陌
Laravel 9.x 译者 295 声望

看了评论学到了很多。原来我也有同样的问题 还好我不是辛运儿 哈哈哈

2年前 评论
my38778570 (楼主) 2年前
这个是腾讯云扫描漏洞注入的
1
OnlyRed
课程读者 163 声望 / emmmm @ emmmm

作为一名后端,第一守则:永远不要相信前端传的任何数据,然后根据第一守则写代码。根据你的截图,明显是前端传什么,你信什么。

sql注入,laravel处理好了,不用关心,除非用你自己要写原生sql才需关心,

2年前 评论
my38778570 (楼主) 2年前
是的
chowjiawei
Laravel 8.x 译者 1.4k 声望 / 测开 @ 新大陆数字技术股份有限公司

登录 请验证

完善的验证规则 规定 他只能传入 数字 或者字母等 不含符号什么的 传都传不进来

2年前 评论
my38778570 (楼主) 2年前
我逻辑错了
小白菜
课程读者 12 声望

你这些都是微信在审核小程序api 测试写入的,你查一下那个ip就知道了;你这个是存在逻辑漏洞但是不存在sql注入漏洞,不然小程序通不过的

2年前 评论
my38778570 (楼主) 2年前
嗯,是的
sy_dante
课程读者 10 声望

你这都不是 sql 注入的问题,是没有验证输入,openid 应该是从微信校验获得的,不应该是前端传啥就存啥

2年前 评论
my38778570 (楼主) 2年前
是注入了,但是防住了
sy_dante (作者) 2年前
@my38778570 嗯,我的意思也是 sql 注入被防住了,所以不是防注入问题
臭鼬
见习助教 178 声望

让我突然想起,前几年用openid 投票那搞笑事情,靠这个智障bug 我还刷了点礼物😄

2年前 评论
1
5yop
课程读者 16 声望

没有直接传openid的吧,暴露了怎么办? 登陆都前端传code再获取openid的。

2年前 评论
my38778570 (楼主) 2年前
是的
it_cwc
课程读者 124 声望

笑死,我劝同事不要用原生sql他都不听 :sweat_smile:

2年前 评论
my38778570 (楼主) 2年前
原生很容易被sql注入
porygonCN
Laravel 8.x 译者 177 声望 / 后端开发 @ 山重建机

挖坟了哈, 我就一个问题 你都解析了openid了为什么还要传给前端再传回来? 请求登录时codeuserinfo一起发给后端不就行了嘛

2年前 评论
my38778570 (楼主) 2年前
是的,原来是手机号码作为账号的,获取手机号码授权,这个需要解密手机号码,为了方便调试,分开了两步。后面逻辑改了~ 还有通过postman等工具是没办法调试登录了把?

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
my38778570 767 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消