php - MySQL:允许通过表单提交PHP代码和SQL语句

Question

我的情况是：我有一个用CakePHP和MySQL构建的网站。我的网站有一个公共论坛，会员可以张贴代码样本。其中一些代码示例将包括PHP和MySQL代码。
我知道这可能是一件危险的事情，但对于一个：只有我特别“批准”的成员可以发布，二：我相信CakePHP已经使用了参数化查询。。。虽然我确信还有其他风险，但这不是我的问题。
问题是：
在我的本地测试环境中，我可以提交包含SQL语句和字符串的帖子，这些帖子的php代码类似于<?php phpinfo(); ?>；但是，在我的生产服务器上运行完全相同的代码时，我不能。
我没有被重定向到/posts/index（这是通常在发布之后发生的事情），而是被重定向回我之前所在的页面（例如/posts/edit/25）。似乎当我试图提交包含“非法”子字符串的表单数据时，提交操作会自动失败，CakePHP会将我发送回以前的位置。（没有代表CakePHP的flash消息。）
到目前为止我的诊断是：
在我试图发布此数据之后，CakePHP的/www/app/tmp/logs/error.log没有显示错误的迹象。我目前没有权限访问任何其他服务器日志文件。
我试着从我的帖子中删除一些php代码。我可以提交<?php echo 'Hello World'; ?>之类的字符串，但是如果phpinfo()之类的函数在表单数据中的任何位置，则帖子将被“拒绝”。用不间断空格填充SQL示例也使我能够提交包含SQL语句的表单数据。
CakePHP使用的MySQL用户帐户有点受限。我完全忘记了它允许执行哪些操作，但我认为它们只是select, insert, update, delete, create, drop，可能还有其他一些操作。
但是，我也在本地使用PHPMyAdmin来管理生产数据库，当我通过PHPMyadmin访问它时，我使用的是具有最大特权的管理帐户。当我通过phpMyAdmin手动更改数据时，代码示例中的phpinfo();之类的字符串不会被拒绝！
尽管这看起来有一线希望，但我已经用CakePHP设置测试了我的站点，以使用具有最大权限的MySQL管理用户，但我仍然无法通过面向用户的表单提交不安全的字符串。
到目前为止，我不满意的结论是：
由于完全相同的php代码在不同的环境下的行为不同，我怀疑这与我的php版本、MySQL版本或sysadmin设置的一些安全措施有关。
不过，我的系统管理员很难联系上，所以我正试图自己找出可能导致问题的原因。
我的问题是：
我的问题可能是什么？有没有禁止“不安全”字符串的PHP设置，或者其他一些常见的设置，我可以请求我的系统管理员进行更改？或者这可能是一个MySQL设置？（鉴于我的phpMyAdmin做蛋糕做不到的事情的奇怪能力，很难说）或者我该如何诊断这个问题？（或者，我应该问我的系统管理员什么问题？）
更多可能有用的数据：
所以，这是根据phpMyAdmin提供的本地测试环境：

Database server
---------------
Server: Local codeTech Server (Localhost via UNIX socket)
Server type: MySQL
Server version: 5.5.34-0ubuntu0.13.04.1 - (Ubuntu)
Protocol version: 10
User: root@localhost
Server charset: UTF-8 Unicode (utf8)

Web server
----------
Apache/2.2.22 (Ubuntu)
Database client version: libmysql - 5.5.34
PHP extension: mysqli

下面是我的生产服务器环境：

Database server
---------------
Server: Sam's Remote Server (XXX.XXX.XXX.XXX via TCP/IP)
Server type: MySQL
Server version: 5.1.70-cll - MySQL Community Server (GPL)
Protocol version: 10
User: XXX@XXX.com
Server charset: UTF-8 Unicode (utf8)

Web server
----------
Apache/2.2.22 (Ubuntu)
Database client version: libmysql - 5.5.34
PHP extension: mysqli

如果有帮助的话，我也愿意为这两个服务器发布phpinfo的一些部分。
我从phpinfo中收集到一些有助于诊断问题的信息：
本地：
PHP版本5.4.9-4ubuntu2.3
Zend引擎2.4.0版
生产：
PHP版本5.3.26
Zend Engine v2.3.0，版权所有（c）1998-2013 Zend Technologies
使用ionCube PHP加载器v4.2.2，版权所有（c）2002-2012，由ionCube有限公司提供，以及
使用Zend Guard加载程序v3.3，版权所有（c）1998-2010，由Zend Technologies提供
Suhosin v0.9.33，版权所有（c）2007-2012，由SektionEins GmbH提供
此服务器受Suhosin扩展0.9.33保护
我怀疑这个“Suhosin”扩展可能和它有关，尽管我不太确定如何。。。
他们的页面（ http://www.hardened-php.net/suhosin/a_feature_list.html）表明可能有一些“保护措施”到位：
打开phpinfo（）页的透明保护
实验性SQL
数据库用户保护
过滤特性
可配置的违规操作
只是阻止违反变量
发送HTTP响应代码
重定向浏览器
事实上，这听起来很可疑！我可能要和我的系统管理员谈谈这个问题；不幸的是，关于Suhosin的文档太少了，我不知道它是否真的是罪魁祸首，所以我不想排除其他一切。
不过，这可能很重要。这些是Suhosin的设置；它们对我来说没有多大意义，但也许一些PHP向导可以突出显示一些重要的关键字：

Directive   Local Value Master Value
suhosin.apc_bug_workaround  Off Off
suhosin.cookie.checkraddr   0   0
suhosin.cookie.cryptdocroot On  On
suhosin.cookie.cryptkey [ protected ]   [ protected ]
suhosin.cookie.cryptlist    no value    no value
suhosin.cookie.cryptraddr   0   0
suhosin.cookie.cryptua  On  On
suhosin.cookie.disallow_nul 1   1
suhosin.cookie.disallow_ws  1   1
suhosin.cookie.encrypt  Off Off
suhosin.cookie.max_array_depth  50  50
suhosin.cookie.max_array_index_length   64  64
suhosin.cookie.max_name_length  64  64
suhosin.cookie.max_totalname_length 256 256
suhosin.cookie.max_value_length 10000   10000
suhosin.cookie.max_vars 100 100
suhosin.cookie.plainlist    no value    no value
suhosin.coredump    Off Off
suhosin.disable.display_errors  Off Off
suhosin.executor.allow_symlink  Off Off
suhosin.executor.disable_emodifier  Off Off
suhosin.executor.disable_eval   Off Off
suhosin.executor.eval.blacklist no value    no value
suhosin.executor.eval.whitelist no value    no value
suhosin.executor.func.blacklist no value    no value
suhosin.executor.func.whitelist no value    no value
suhosin.executor.include.allow_writable_files   On  On
suhosin.executor.include.blacklist  no value    no value
suhosin.executor.include.max_traversal  0   0
suhosin.executor.include.whitelist  no value    no value
suhosin.executor.max_depth  0   0
suhosin.filter.action   no value    no value
suhosin.get.disallow_nul    1   1
suhosin.get.disallow_ws 0   0
suhosin.get.max_array_depth 50  50
suhosin.get.max_array_index_length  64  64
suhosin.get.max_name_length 64  64
suhosin.get.max_totalname_length    256 256
suhosin.get.max_value_length    512 512
suhosin.get.max_vars    100 100
suhosin.log.file    0   0
suhosin.log.file.name   no value    no value
suhosin.log.phpscript   0   0
suhosin.log.phpscript.is_safe   Off Off
suhosin.log.phpscript.name  no value    no value
suhosin.log.sapi    0   0
suhosin.log.script  0   0
suhosin.log.script.name no value    no value
suhosin.log.syslog  no value    no value
suhosin.log.syslog.facility no value    no value
suhosin.log.syslog.priority no value    no value
suhosin.log.use-x-forwarded-for Off Off
suhosin.mail.protect    0   0
suhosin.memory_limit    0   0
suhosin.mt_srand.ignore On  On
suhosin.multiheader Off Off
suhosin.perdir  0   0
suhosin.post.disallow_nul   1   1
suhosin.post.disallow_ws    0   0
suhosin.post.max_array_depth    50  50
suhosin.post.max_array_index_length 64  64
suhosin.post.max_name_length    64  64
suhosin.post.max_totalname_length   256 256
suhosin.post.max_value_length   1000000 1000000
suhosin.post.max_vars   1000    1000
suhosin.protectkey  On  On
suhosin.request.disallow_nul    1   1
suhosin.request.disallow_ws 0   0
suhosin.request.max_array_depth 50  50
suhosin.request.max_array_index_length  64  64
suhosin.request.max_totalname_length    256 256
suhosin.request.max_value_length    1000000 1000000
suhosin.request.max_varname_length  64  64
suhosin.request.max_vars    1000    1000
suhosin.server.encode   On  On
suhosin.server.strip    On  On
suhosin.session.checkraddr  0   0
suhosin.session.cryptdocroot    On  On
suhosin.session.cryptkey    [ protected ]   [ protected ]
suhosin.session.cryptraddr  0   0
suhosin.session.cryptua Off Off
suhosin.session.encrypt On  On
suhosin.session.max_id_length   128 128
suhosin.simulation  Off Off
suhosin.sql.bailout_on_error    Off Off
suhosin.sql.comment 0   0
suhosin.sql.multiselect 0   0
suhosin.sql.opencomment 0   0
suhosin.sql.union   0   0
suhosin.sql.user_postfix    no value    no value
suhosin.sql.user_prefix no value    no value
suhosin.srand.ignore    On  On
suhosin.stealth On  On
suhosin.upload.disallow_binary  0   0
suhosin.upload.disallow_elf 1   1
suhosin.upload.max_uploads  25  25
suhosin.upload.remove_binary    0   0
suhosin.upload.verification_script  no value    no value

提前感谢任何能帮我解决这个问题的人。恭喜你读到这么远！

Answer 1

关于环境之间的PHP配置差异，应该比较在devel和生产环境中执行phpinfo（）的结果。根据版本的不同，可以激活magic_quotes（坏主意！）或者其他影响代码的配置，只需逐个比较，就会得到差异，在几乎所有情况下都应该消除这些差异（除了在生产和开发中需要不同的显示错误和其他一些错误）。
关于MySQL：您需要有两个不同的用户，您将根据查询使用这两个用户：
1）一个用于阅读，只需选择权限
2）另一个用于编写，带有SELECT、UPDATE、DELETE、INSERT（通常，创建和删除在网站中是不必要的，并且是可能的安全漏洞的焦点）
通常，您将使用“reading”用户，只需将需要编写的特定查询更改为“write”。
我不认为你的问题是在PHP（但检查phpinfo）和肯定不是在MySQL中，我打赌是Suhosin插件，也许，在CakePHP中的一个配置会根据你的环境而改变，但有了给定的信息，我不能再多说了。
我从来没听说过素，如果我是你，我的第一步就是去激活它。使用PDO's binding funcions和php filters将是一个没有额外插件的安全选项。