亲测 YII2 SQL注入 - 话题 - Yii Framework 中文网

httpp886 2017-05-05 11:40:51 8742次浏览 4条回复 4 1 0

//是否开启了发送短信功能
// 可以注入到数据库
//$where = 'to_days(from_unixtime(send_time)) = to_days(now()) and id='.$tel;
//$count = self::find()->select('*')->where($where)->asArray()->all();
//echo self::find()->createCommand()->getRawSql();
//var_dump($count);

// 可以注入到数据库
//$sql     = "SELECT * FROM   xtrade_admin_send_notice WHERE id = {$tel}";
//$db      = \Yii::$app->db;
//$command = $db->createCommand($sql);//存在注入漏洞，方法内部并未对$id进行过滤或其它处理
//$result  = $command->queryAll();
//var_dump($result);



//测试没有注入漏洞
$sql     = "SELECT * FROM   xtrade_admin_send_notice WHERE id = :id";
$db      = \Yii::$app->db;
$command = $db->createCommand($sql, [':id'=>$tel]);//方法内部对第二个参数进行PDO参数化，不会导致注入漏洞
$result  = $command->queryAll();
var_dump($result);

//测试没有注入漏洞
$result = self::findAll("id={$tel}");
echo self::find()->createCommand()->getRawSql();
var_dump($result);

//测试没有注入漏洞
$id =$tel;
$result = self::findAll($id);
echo self::find()->createCommand()->getRawSql();
var_dump($result);

//测试没有注入漏洞
$result = self::findAll(['id'=>$tel]);
echo self::find()->createCommand()->getRawSql();
var_dump($result);

//测试没有注入漏洞
$res = self::find()->where('id=:id',array(':id'=>$tel))->asArray()->all();
echo self::find()->createCommand()->getRawSql();
var_dump($result);

最后结论：只要是ar形式的都可以防止

觉得很赞

BoyLee 回复于 2017-05-05 13:29 举报

所有用户输入必须bind，否则注入是在所难免的。

狼骑舞者觉得很赞

回复 1 0
wushshsha 回复于 2017-05-15 08:51 举报

mark，先关注，谢谢

回复 0 0
Yong 回复于 2017-06-19 16:40 举报

无聊！只要遵循pdo，官方宣称不可能有sql注入

共 1 条回复

httpp886 回复于 2017-06-19 17:06 回复

无聊!你可以不看，又没有求你

回复 0 0
Manson 回复于 2018-02-01 20:20 举报

深受启发，谢谢

回复 0 0

您需要登录后才可以回复。登录 | 立即注册

总监

httpp886

注册时间：2017-01-12
最后登录：2017-11-09
在线时长：16小时47分

粉丝15
金钱1275
威望60
积分2035

亲测 YII2 SQL注入 [ 技术分享 ]

共 4 条回复

回复话题

httpp886

热门话题