额外的、不需要的 $_POST 密钥会损害系统吗？

Question

让我们想象一下输入在哪里：

<input name="x" />
<input name="y" />
<input name="z" />

如果用户手动（例如，使用 FireBug 创建更多具有不同名称的输入）会有任何危害吗？

我问这个是因为我的团队昨天创建了一个规则，您需要手动过滤 $_POST 数组（例如）以确保其中只有预期的键。就我个人而言，如果有像foo 和bar 这样的额外键，我认为不会有任何伤害。他们会被忽略，对吧？

此外，我们正在使用 Kohana 3.0 及其 ORM。也许这就是重点？也许 ORM 会对额外的、不需要的键做出不同的反应，并且如果“黑客”猜到“错误”键（也是列），也许会更新数据库中的意外列？

你怎么看？

Answer 1

这是一些框架中的一个问题，例如 Ruby on Rails 和 ASP.NET MVC，它可以作为批量分配发生。

考虑一个用户帐户模型，其中您有用户名、密码、电子邮件，然后是一个布尔标志，用于指示用户是否为管理员。 您构建了一个允许自行注册的表单，并且因为您当然不希望用户允许自己成为管理员，所以您只在表单中包含了前三个字段。但是在这些框架中（除非您禁用它），任何具有特定名称的表单字段（无论它们是否来自实际表单）都将被分配。因此，如果攻击者添加了一个名为 user[admin]=1 的字段，它可能由“魔术”后端分配，并且实际上会对数据产生影响，即使您从未明确处理过该变量。

Answer 2

Erlend 是正确的，如果您只是将$_POST 放入 ORM，那么您可能会遇到安全问题，但他对 Kohana 的看法是错误的。从 Kohana 3.* 开始，ORM 方法 values() 采用第二个参数，它是预期键的数组。

那么，下面的例子

$user = ORM::factory('user');
$user->values($_POST, array('username', 'password')
$save->save();

Source code for values()

只会使用数组中的用户名和密码字段。

Answer 3

如果您正在使用某种将所有 POST 变量转换为 SQL 查询的自动化，那么您的声明可能会有问题。我不知道 Kohana 做了什么，但有些框架有一个 save_to_database( $data ) 函数，可以从 $data 中选择在表中具有相应字段的变量，因此理论上攻击者可能能够将比他们更多的数据保存到数据库中'应该通过发送额外的密钥。 （大多数框架还允许将一组允许的字段传递给防止此类攻击的函数。）