code前端网PHP框架Laravel最新SQL注入漏洞简单分析下
前一篇PHP Laravel框架最新SQL注入漏洞浅析。这里简单分析一下。 
首先,该漏洞属于网站非法代码。管理员提醒一下:
但是管理员还是打了补丁,更新到最新版本。
我们先看这里:
IlluminateValidationRule
官方推荐的脚本是:
Rule::unique('users')-<ignore($id),
</ignore($id),如果网页代码没有对$id的值进行预处理,可以直接将恶意数据传输到‘工作不关心’用户,这将导致 SQL 注入。 ?如果这样配置的话,黑客输入的值就会处于可控状态:
$id = $request-<input('id');
</input('id');最后我们会到这里:
IlluminateValidationRules甥楮畱e.php
public function __toString()
{
...
...
}我们看一下主代码的变化:
IlluminateValidationRules甥楮畱e.php
【最新版】
public function __toString()
{
$this- }
IlluminateValidationRules甥楮畱e.php
V5.8.4
public function __toString()
{
$this- }这里最后的代码,把 $ 改一下this-
版权声明
本文仅代表作者观点,不代表Code前端网立场。
本文系作者Code前端网发表,如需转载,请注明页面地址。
相关文章
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。