我有一个基本上像这样工作的 ajax 方法
function getRow(tableName, idName, idValue, callback)
这样做的明显好处是我有一个函数可以从任何表中检索数据。但是,从安全角度来看,这只是感觉错误,这样做是否存在安全风险?实际读取/操作数据库的相应 PHP 文件通过先前的身份验证过程得到保护,因此理论上,表名在真空中的可见性不应该是一个风险(更不用说数据库只接受 localhost 连接),但是我想知道是否没有更好/更漂亮的方法来实现这一点。
编辑:只是为了澄清身份验证过程,用户/角色安全性会阻止访问所有表,但用户明确允许的表除外。
【问题讨论】:
syscolumns作为参数调用这个函数呢?
标签: php javascript mysql security
如果您确定没有 SQL 注入漏洞,并且永远不会,那很好。
如果您确实存在 SQL 注入漏洞,它会使攻击者的工作更加轻松。
不用说(我希望),服务器端脚本必须使用可以通过这种方法公开的表和列的白名单。
【讨论】:
单独的表名称并没有那么糟糕,但是,您似乎正在制作的 API 可能不是最好的主意...
仔细考虑是否存在人们不应该查询的表,因为从外观上看,我可以从客户端查询数据库中的任何表。例如:
getRow('users', 'id', '7', function(data){console.log(data)})
如果用户表返回他们的密码怎么办?即使它被散列,那也不好。还是他们的电子邮件?如果我想收集所有用户的电子邮件怎么办?我可以编写非常简单的脚本来做到这一点。
【讨论】:
这是一种风险,因为它会向攻击者提供信息。这与提供您正在使用的软件的软件版本相同。它本身不是漏洞,但它是漏洞之门。
【讨论】:
这是一个非常糟糕的主意。
例如,假设您正在使用此代码:
$table_name=mysql_real_escape_string($_GET['table']);
$id_name=mysql_real_escape_string($_GET['idname']);
$id_value=mysql_real_escape_string($_GET['idvalue']);
mysql_query("select * from `$table_name` where `$id_name`='$id_value'");
这可以通过多种方式加以利用:
不是 SQL 注入
这个查询会返回mysql.user中的root用户,这个是
?table=mysql.user&idname=user&idvalue=root
此请求将创建查询:
select * frommysql.userwhereuser='root'
SQL 注入:
这是因为mysql_real_escpae_string 不会转义反引号:``
?table=`table where 1 union select * from mysql.user/*&idname=junk&idvalue=junk
【讨论】:
\w 字符。但是应该验证输入。
您可以在 JS 中显示例如 users 表名,但在服务器端添加像 forum_users 这样的前缀,这将是数据库中的实际表名。这样如果有人找到注入点,他会尝试DROP TABLE users,如果幸运的话,查询将失败:)
还为表和列添加白/黑列表,添加 LIMIT 1(不要循环),不要返回多个数组,并且应该使用类似这样的东西进行清理。
$select = preg_replace("#[\w]#", "", $_GET["select"]);
$from = preg_replace("#[\w]#", "", $_GET["from"]);
$where = preg_replace("#[\w]#", "", $_GET["where"]);
$equals = mysql_real_escape_string($_GET["equals"]);
$query = "SELECT $select FROM $from WHERE $where = '$equals' LIMIT 1";
【讨论】:
客户端上的直接数据库 API 当然应该用于非常特殊的情况。但是您可以使用白名单轻松保护它。以 PHP 为例:
if (in_array($tableName, array("users", "log", "messages", ...))) {
所以从安全的角度来看,我认为这没什么大不了的,只要你在这里有一个固定的列表。
【讨论】: