个人中心
gpt4 book ai didi

php - MySQL:允许通过表单提交PHP代码和SQL语句

转载 作者:行者123 更新时间:2023-11-29 03:37:14 25 4
gpt4 key购买 nike

我的情况是:我有一个用CakePHP和MySQL构建的网站。我的网站有一个公共论坛,会员可以张贴代码样本。其中一些代码示例将包括PHP和MySQL代码。
我知道这可能是一件危险的事情,但对于一个:只有我特别“批准”的成员可以发布,二:我相信CakePHP已经使用了参数化查询。。。虽然我确信还有其他风险,但这不是我的问题。
问题是:
在我的本地测试环境中,我可以提交包含SQL语句和字符串的帖子,这些帖子的php代码类似于<?php phpinfo(); ?>;但是,在我的生产服务器上运行完全相同的代码时,我不能。
我没有被重定向到/posts/index(这是通常在发布之后发生的事情),而是被重定向回我之前所在的页面(例如/posts/edit/25)。似乎当我试图提交包含“非法”子字符串的表单数据时,提交操作会自动失败,CakePHP会将我发送回以前的位置。(没有代表CakePHP的flash消息。)
到目前为止我的诊断是:
在我试图发布此数据之后,CakePHP的/www/app/tmp/logs/error.log没有显示错误的迹象。我目前没有权限访问任何其他服务器日志文件。
我试着从我的帖子中删除一些php代码。我可以提交<?php echo 'Hello World'; ?>之类的字符串,但是如果phpinfo()之类的函数在表单数据中的任何位置,则帖子将被“拒绝”。用不间断空格填充SQL示例也使我能够提交包含SQL语句的表单数据。
CakePHP使用的MySQL用户帐户有点受限。我完全忘记了它允许执行哪些操作,但我认为它们只是select, insert, update, delete, create, drop,可能还有其他一些操作。
但是,我也在本地使用PHPMyAdmin来管理生产数据库,当我通过PHPMyadmin访问它时,我使用的是具有最大特权的管理帐户。当我通过phpMyAdmin手动更改数据时,代码示例中的phpinfo();之类的字符串不会被拒绝!
尽管这看起来有一线希望,但我已经用CakePHP设置测试了我的站点,以使用具有最大权限的MySQL管理用户,但我仍然无法通过面向用户的表单提交不安全的字符串。
到目前为止,我不满意的结论是:
由于完全相同的php代码在不同的环境下的行为不同,我怀疑这与我的php版本、MySQL版本或sysadmin设置的一些安全措施有关。
不过,我的系统管理员很难联系上,所以我正试图自己找出可能导致问题的原因。
我的问题是:
我的问题可能是什么?有没有禁止“不安全”字符串的PHP设置,或者其他一些常见的设置,我可以请求我的系统管理员进行更改?或者这可能是一个MySQL设置?(鉴于我的phpMyAdmin做蛋糕做不到的事情的奇怪能力,很难说)或者我该如何诊断这个问题?(或者,我应该问我的系统管理员什么问题?)
更多可能有用的数据:
所以,这是根据phpMyAdmin提供的本地测试环境:

Database server
---------------
Server: Local codeTech Server (Localhost via UNIX socket)
Server type: MySQL
Server version: 5.5.34-0ubuntu0.13.04.1 - (Ubuntu)
Protocol version: 10
User: root@localhost
Server charset: UTF-8 Unicode (utf8)

Web server
----------
Apache/2.2.22 (Ubuntu)
Database client version: libmysql - 5.5.34
PHP extension: mysqli

下面是我的生产服务器环境: 
Database server
---------------
Server: Sam's Remote Server (XXX.XXX.XXX.XXX via TCP/IP)
Server type: MySQL
Server version: 5.1.70-cll - MySQL Community Server (GPL)
Protocol version: 10
User: XXX@XXX.com
Server charset: UTF-8 Unicode (utf8)

Web server
----------
Apache/2.2.22 (Ubuntu)
Database client version: libmysql - 5.5.34
PHP extension: mysqli

如果有帮助的话,我也愿意为这两个服务器发布phpinfo的一些部分。
我从phpinfo中收集到一些有助于诊断问题的信息:
本地:
PHP版本5.4.9-4ubuntu2.3
Zend引擎2.4.0版
生产:
PHP版本5.3.26
Zend Engine v2.3.0,版权所有(c)1998-2013 Zend Technologies
使用ionCube PHP加载器v4.2.2,版权所有(c)2002-2012,由ionCube有限公司提供,以及
使用Zend Guard加载程序v3.3,版权所有(c)1998-2010,由Zend Technologies提供
Suhosin v0.9.33,版权所有(c)2007-2012,由SektionEins GmbH提供
此服务器受Suhosin扩展0.9.33保护
我怀疑这个“Suhosin”扩展可能和它有关,尽管我不太确定如何。。。
他们的页面( http://www.hardened-php.net/suhosin/a_feature_list.html)表明可能有一些“保护措施”到位:
打开phpinfo()页的透明保护
实验性SQL
数据库用户保护
过滤特性
可配置的违规操作
只是阻止违反变量
发送HTTP响应代码
重定向浏览器
事实上,这听起来很可疑!我可能要和我的系统管理员谈谈这个问题;不幸的是,关于Suhosin的文档太少了,我不知道它是否真的是罪魁祸首,所以我不想排除其他一切。
不过,这可能很重要。这些是Suhosin的设置;它们对我来说没有多大意义,但也许一些PHP向导可以突出显示一些重要的关键字: 
Directive   Local Value Master Value
suhosin.apc_bug_workaround  Off Off
suhosin.cookie.checkraddr   0   0
suhosin.cookie.cryptdocroot On  On
suhosin.cookie.cryptkey [ protected ]   [ protected ]
suhosin.cookie.cryptlist    no value    no value
suhosin.cookie.cryptraddr   0   0
suhosin.cookie.cryptua  On  On
suhosin.cookie.disallow_nul 1   1
suhosin.cookie.disallow_ws  1   1
suhosin.cookie.encrypt  Off Off
suhosin.cookie.max_array_depth  50  50
suhosin.cookie.max_array_index_length   64  64
suhosin.cookie.max_name_length  64  64
suhosin.cookie.max_totalname_length 256 256
suhosin.cookie.max_value_length 10000   10000
suhosin.cookie.max_vars 100 100
suhosin.cookie.plainlist    no value    no value
suhosin.coredump    Off Off
suhosin.disable.display_errors  Off Off
suhosin.executor.allow_symlink  Off Off
suhosin.executor.disable_emodifier  Off Off
suhosin.executor.disable_eval   Off Off
suhosin.executor.eval.blacklist no value    no value
suhosin.executor.eval.whitelist no value    no value
suhosin.executor.func.blacklist no value    no value
suhosin.executor.func.whitelist no value    no value
suhosin.executor.include.allow_writable_files   On  On
suhosin.executor.include.blacklist  no value    no value
suhosin.executor.include.max_traversal  0   0
suhosin.executor.include.whitelist  no value    no value
suhosin.executor.max_depth  0   0
suhosin.filter.action   no value    no value
suhosin.get.disallow_nul    1   1
suhosin.get.disallow_ws 0   0
suhosin.get.max_array_depth 50  50
suhosin.get.max_array_index_length  64  64
suhosin.get.max_name_length 64  64
suhosin.get.max_totalname_length    256 256
suhosin.get.max_value_length    512 512
suhosin.get.max_vars    100 100
suhosin.log.file    0   0
suhosin.log.file.name   no value    no value
suhosin.log.phpscript   0   0
suhosin.log.phpscript.is_safe   Off Off
suhosin.log.phpscript.name  no value    no value
suhosin.log.sapi    0   0
suhosin.log.script  0   0
suhosin.log.script.name no value    no value
suhosin.log.syslog  no value    no value
suhosin.log.syslog.facility no value    no value
suhosin.log.syslog.priority no value    no value
suhosin.log.use-x-forwarded-for Off Off
suhosin.mail.protect    0   0
suhosin.memory_limit    0   0
suhosin.mt_srand.ignore On  On
suhosin.multiheader Off Off
suhosin.perdir  0   0
suhosin.post.disallow_nul   1   1
suhosin.post.disallow_ws    0   0
suhosin.post.max_array_depth    50  50
suhosin.post.max_array_index_length 64  64
suhosin.post.max_name_length    64  64
suhosin.post.max_totalname_length   256 256
suhosin.post.max_value_length   1000000 1000000
suhosin.post.max_vars   1000    1000
suhosin.protectkey  On  On
suhosin.request.disallow_nul    1   1
suhosin.request.disallow_ws 0   0
suhosin.request.max_array_depth 50  50
suhosin.request.max_array_index_length  64  64
suhosin.request.max_totalname_length    256 256
suhosin.request.max_value_length    1000000 1000000
suhosin.request.max_varname_length  64  64
suhosin.request.max_vars    1000    1000
suhosin.server.encode   On  On
suhosin.server.strip    On  On
suhosin.session.checkraddr  0   0
suhosin.session.cryptdocroot    On  On
suhosin.session.cryptkey    [ protected ]   [ protected ]
suhosin.session.cryptraddr  0   0
suhosin.session.cryptua Off Off
suhosin.session.encrypt On  On
suhosin.session.max_id_length   128 128
suhosin.simulation  Off Off
suhosin.sql.bailout_on_error    Off Off
suhosin.sql.comment 0   0
suhosin.sql.multiselect 0   0
suhosin.sql.opencomment 0   0
suhosin.sql.union   0   0
suhosin.sql.user_postfix    no value    no value
suhosin.sql.user_prefix no value    no value
suhosin.srand.ignore    On  On
suhosin.stealth On  On
suhosin.upload.disallow_binary  0   0
suhosin.upload.disallow_elf 1   1
suhosin.upload.max_uploads  25  25
suhosin.upload.remove_binary    0   0
suhosin.upload.verification_script  no value    no value

提前感谢任何能帮我解决这个问题的人。恭喜你读到这么远!

最佳答案

关于环境之间的PHP配置差异,应该比较在devel和生产环境中执行phpinfo()的结果。根据版本的不同,可以激活magic_quotes(坏主意!)或者其他影响代码的配置,只需逐个比较,就会得到差异,在几乎所有情况下都应该消除这些差异(除了在生产和开发中需要不同的显示错误和其他一些错误)。
关于MySQL:您需要有两个不同的用户,您将根据查询使用这两个用户:
1)一个用于阅读,只需选择权限
2)另一个用于编写,带有SELECT、UPDATE、DELETE、INSERT(通常,创建和删除在网站中是不必要的,并且是可能的安全漏洞的焦点)
通常,您将使用“reading”用户,只需将需要编写的特定查询更改为“write”。
我不认为你的问题是在PHP(但检查phpinfo)和肯定不是在MySQL中,我打赌是Suhosin插件,也许,在CakePHP中的一个配置会根据你的环境而改变,但有了给定的信息,我不能再多说了。
我从来没听说过素,如果我是你,我的第一步就是去激活它。使用PDO's binding funcionsphp filters将是一个没有额外插件的安全选项。

关于php - MySQL:允许通过表单提交PHP代码和SQL语句,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19675240/

25 4 0
文章推荐: php - 自动完成搜索查询mysql
文章推荐: ios - 从 PPRevealSlide ViewController 中的导航栏下方开始的幻灯片 View
文章推荐: java - Java 中的测试集成员资格
文章推荐: ios - DismissViewController 无法访问presentingViewController
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com