小程序刚审核通过就被sql注入

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

2年前评论

忆往昔弹指间

620 声望

laravel 的 db 操作是自带防注入的，检查一下你是否使用了原生语句，或者字符串拼接操作

2年前评论

my38778570 （楼主）

没有，他是通过注册sql注入的

派大旺

课程读者 19 声望

方案 1 : 走 openid

后端自己用 js_code 去获取 openid 信息，走注册功能

方案 2 : 走项目自己的注册功能

加验签功能，前端传输字段增加 sign
通过排序请求参数等，前后端统一加密算法，验证数据合法性
合法则注册
不合法忽略
再做个 ip 黑名单，这个 ip 直接拒绝请求就好了

2年前评论

诺大的院子

前端作签名？

派大旺（作者）

@诺大的院子对啊用统一的方式比如 : 请求参数排序,用键值对形式拼接 string, 用自己的方式加盐加密等操作, 前后端对应就好了呀

chuoke

Laravel 8.x 译者 532 声望

你这数据都正常插入了，说明已经防住了，剩下的就是你的业务逻辑验证要加强了

2年前评论

风吹过有夏天的味道

课程读者 337 声望 / php小菜鸟 @ myself

怎么没有用小程序的认证呢

2年前评论

my38778570 （楼主）

有文档吗？我看看

MArtian

版主 3.8k 声望

嗯... 我想起来之前做的一个项目也是小程序被 SQL 注入的过程，也是在注册时发生的，我描述一下场景，你看看是不是你的情况：

用户发起授权，传一个 code 给后端，后端解析小程序 session，返回给前端
在前端再在把微信用户信息传给我，此时，是可以直接取到前端传给我的 wx_open_id 的
我当时就是直接把前端回传的 open_id 直接写库了，然后就凉凉了。

后来我在解析 session 的时候获取到的 open_id 写入缓存了，给一个 5 分钟的有效期，前端在授权成功再次请求创建用户接口时，我到缓存中去取 open_id ，如果两个值相等才创建用户，这个是比较容易被疏忽的部分，你看下你的是不是也和我犯了一样的错误。

前端传递的 open_id 字段不可信。

2年前评论

23tl

@MArtian 为什么不在服务端对用户数据进行解密，而是要求前端传递用户的 openid ？

my38778570 （楼主）

是的，但是要怎么验证，刚刚有位兄弟说有个小程序认证

my38778570 （楼主）

只要认证是小程序返回的就可以防止了

MArtian （作者）

@my38778570 很简单啊，你看看你前端接口有没有传 open_id 的地方

MArtian （作者）

@23tl 哈哈，当时没注意这块

23tl

@MArtian 正常开发根本就不允许前端传递用的 openid 参数，而且 web 开发第一条铁律不就是不要相信用户传递数据的正确性嘛

陈先生

我没记错的话，用户的信息不都是解密出来的么？？？

ononl

201 声望

使用 js_code 去换取 openid 不就行了。这样保存在数据库的 openid 就是对的，前端传的肯定不能信

2年前评论

my38778570 （楼主）

是的，犯了这个错误，js_code返回的时候我应该缓存起来跟前端传过来的做对比做插入使用

小学毕业生

课程读者 177 声望

为什么我就没有这么幸运呢

2年前评论

my38778570 （楼主）

我还想说，刚上线，这是咋盯上的

小学毕业生（作者）

@my38778570 目前来说, 我都没有碰到过来扫的. 你也是直接入库操作了

    /**
     * 根据微信手机号码登录.
     * @param Request $request
     * @return \Illuminate\Http\JsonResponse|\Illuminate\Http\Response
     * @throws \EasyWeChat\Kernel\Exceptions\InvalidConfigException
     */
    public function wechatToken(Request $request)
    {
        $input = $request->only(['code', 'encryptedData', 'iv']);

        if($user = $this->checkCodeUser($request->input('code')))
            return $this->createToken($user->phone, $user->program_id);


        try {
            $decryptedData = WechatAuth::decryptData($this->session->session_key, $input['iv'], $input['encryptedData']);

            $phone = $decryptedData['purePhoneNumber'];


            if($user = User::firstWhere('username', $phone)) {
                if(!$user->program_id) $user->update(['program_id' => $this->session->openid]);

                return $this->createToken($user->phone, $user->program_id);
            }

            return ($user = $this->createUser($phone, $this->session->openid))
                ? $this->createToken($user->phone, $user->program_id)
                : $this->responseWithout('请联系客服开通帐号', [$this->session], 403);

        } catch (\Exception $e) {
            return $this->responseWithout('授权失败', [$e->getMessage()], 403);
        }
    }

my38778570 （楼主）

@yangjisen 我记得以前做公众号授权的时候是要跳页面的，授权和登录分开两个步骤，我搞错了

李铭昕

613 声望 / 作者 @ Hyperf

你 openid 是前端传给你的？？不应该是后端解密的么。。。

2年前评论

my38778570 （楼主）

嗯是的

t918412

31 声望

记得微信小程序后端可根据 code 获取 openid 与 session_key 然后可以根据 session_key 解密前端传的加密信息

2年前评论

my38778570 （楼主）

嗯，我步骤搞错了

巴啦啦臭魔仙

见习版主 300 声望

我记得 openid 是固定多少位的，可以设置个 char 类型定长截断一下。你可以在插入用户数据的时候使用字符串查询的方式看看里面有没有 select 、where 的一些 sql 关键字，用来过滤一下

2年前评论

my38778570 （楼主）

32位

巴啦啦臭魔仙（作者）

@my38778570 嗯嗯可以做个长度限制和过滤

my38778570 （楼主）

@巴啦啦臭魔仙嗯，不过实际上我逻辑错了

巴啦啦臭魔仙（作者）

@my38778570 哦哦，那问题不大，吃一堑长一智

my38778570 （楼主）

@巴啦啦臭魔仙 openid不能经过前端的

勇敢的心

见习助教 847 声望

我是不是理解错了？你这不是 sql 注入吧？就是黑客通过你的注册接口写入无效数据而已，然后你没有验证 openid

2年前评论

my38778570 （楼主）

如果你用原生，上面是拼接的，就是注入了

my38778570 （楼主）

腾讯云注入的，写入数据时因为防止了，然后我是没有验证，因为我以前做公众号授权的时候是分获取openid和注册两个步骤，小程序是可以合在一个接口登录注册的，我忘记了

php_yt

1.1k 声望

小程序接口是暴露的，数据校验、防刷、防攻击

2年前评论

wfffff

1 声望

用授权按钮传给你的 code 你服务端获取到 openid 直接存起来不用前端传自己再写一套 token 验证用来登录

2年前评论

my38778570 （楼主）

是的

Imuyu

课程读者 870 声望

这个不算是 sql 注入，顶多是他用注入的方式绕过了验证，注册了无效的用户，本质你注册业务没有验证合法来源，加强注册验证吧，比如限流，授权 open_id 后端获取，或者动态加密再给到前段

2年前评论

my38778570 （楼主）

如果你用的是原生，通过openid查询用户是否存在的时候，是sql注入了把？

Su

@my38778570 这属于视图SQL注入，但是没成功

my38778570 （楼主）

@Su 其他方式是怎么注入的？

Imuyu （作者）

@my38778570 open_id不应该有外部传入，应该有后端解密微信数据获取，如果一定要前端传过来，可以先后端获取加密后，再传给前端

my38778570 （楼主）

@Imuyu 是的

putyy

140 声望

看了评论不多说了！小伙子经过这次你会成长很多的

2年前评论

my38778570 （楼主）

是的

寞小陌

Laravel 9.x 译者 295 声望

看了评论学到了很多。原来我也有同样的问题还好我不是辛运儿哈哈哈

2年前评论

my38778570 （楼主）

这个是腾讯云扫描漏洞注入的

OnlyRed

课程读者 163 声望 / emmmm @ emmmm

作为一名后端，第一守则：永远不要相信前端传的任何数据，然后根据第一守则写代码。根据你的截图，明显是前端传什么，你信什么。

sql 注入，laravel 处理好了，不用关心，除非用你自己要写原生 sql 才需关心，

2年前评论

my38778570 （楼主）

是的

chowjiawei

Laravel 8.x 译者 1.4k 声望 / 测开 @ 新大陆数字技术股份有限公司

登录请验证

完善的验证规则规定他只能传入数字或者字母等不含符号什么的传都传不进来

2年前评论

my38778570 （楼主）

我逻辑错了

小白菜

课程读者 12 声望

你这些都是微信在审核小程序 api 测试写入的，你查一下那个 ip 就知道了；你这个是存在逻辑漏洞但是不存在 sql 注入漏洞，不然小程序通不过的

2年前评论

my38778570 （楼主）

嗯，是的

sy_dante

课程读者 13 声望

你这都不是 sql 注入的问题，是没有验证输入，openid 应该是从微信校验获得的，不应该是前端传啥就存啥

2年前评论

my38778570 （楼主）

是注入了，但是防住了

sy_dante （作者）

@my38778570 嗯，我的意思也是 sql 注入被防住了，所以不是防注入问题

臭鼬

见习助教 182 声望

让我突然想起，前几年用 openid 投票那搞笑事情，靠这个智障 bug 我还刷了点礼物😄

2年前评论

5yop

课程读者 16 声望

没有直接传 openid 的吧，暴露了怎么办？登陆都前端传 code 再获取 openid 的。

2年前评论

my38778570 （楼主）

是的

it_cwc

课程读者 124 声望

笑死，我劝同事不要用原生 sql 他都不听

2年前评论

my38778570 （楼主）

原生很容易被sql注入

porygonCN

Laravel 8.x 译者 178 声望 / 后端开发 @ 山重建机

挖坟了哈，我就一个问题你都解析了 openid 了为什么还要传给前端再传回来？请求登录时 code 和 userinfo 一起发给后端不就行了嘛

2年前评论

my38778570 （楼主）

是的，原来是手机号码作为账号的，获取手机号码授权，这个需要解密手机号码，为了方便调试，分开了两步。后面逻辑改了~ 还有通过postman等工具是没办法调试登录了把？

推荐文章：

高认可度评论：

方案 1 : 走 openid

方案 2 : 走项目自己的注册功能

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

小程序刚审核通过就被sql注入

推荐文章：

高认可度评论：

方案 1 : 走 openid

方案 2 : 走项目自己的注册功能

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录