PHP框架Laravel最新SQL注入漏洞简单分析下

前一篇PHP Laravel框架最新SQL注入漏洞浅析。这里简单分析一下。

首先，该漏洞属于网站非法代码。管理员提醒一下：

但是管理员还是打了补丁，更新到最新版本。

我们先看这里：

IlluminateValidationRule

官方推荐的脚本是：

Rule::unique('users')-<ignore($id),
</ignore($id),

如果网页代码没有对$id的值进行预处理，可以直接将恶意数据传输到‘工作不关心’用户，这将导致 SQL 注入。 ？如果这样配置的话，黑客输入的值就会处于可控状态：

$id = $request-<input('id');
</input('id');

最后我们会到这里：

IlluminateValidationRules甥楮畱e.php
 public function __toString()
 {
 ...
 ...
 }

我们看一下主代码的变化：

IlluminateValidationRules甥楮畱e.php
【最新版】
 public function __toString()
 {
 $this- }
IlluminateValidationRules甥楮畱e.php
V5.8.4
 public function __toString()
 {
 $this- }

这里最后的代码，把 $ 改一下this-