Drupal专业开发指南 第20章 编写安全的代码(3)db_query()

最新推荐文章于 2024-06-18 20:25:03 发布
最新推荐文章于 2024-06-18 20:25:03 发布
阅读量2.3k 收藏
点赞数
文章标签: query sql output callback function access

使用db_query()来确保查询语句的安全

译者:老葛        Eskalate科技公司

攻击网站的一个常见方式称为SQL注入。让我们看一个没有考虑安全性的人编写的模块。这个人仅仅想用一种简单的方式列出特定类型节点的所有节点的标题:

/*

* Implementation of hook_menu().

*/

function insecure_menu($may_cache) {

$items = array();

if ($may_cache) {

$items[] = array(

'path' => 'insecure',

'title' => t('Insecure Module'),

'description' => t('Example of how not to do things.'),

'callback' => 'insecure_code',

'access' => user_access('access content')

);

}

return $items;

}

/*

* Menu callback, called when user goes to http://example.com/?q=insecure

*/

function insecure_code($type = 'story') {

// SQL statement where variable is embedded directly into the statement.

$sql = "SELECT title FROM {node} WHERE type = '$type'"; // Never do this!

$result = db_query($sql);

$titles = array();

while ($data = db_fetch_object($result)) {

$titles[] = $data->title;

}

// For debugging, output the SQL statement to the screen.

$output = $sql . theme('item_list', $titles);

return $output;

}

 

访问http://example.com/?q=insecure,一切正常。我们得到了SQL,接着是故事(story)列表,如图20-2所示。

20-2。 简单的故事节点标题列表

 

注意,这个程序员是如何聪明的将insecure_code()函数中的$type参数默认设为'story'(‘故事’)。这个程序员也掌握了Drupal的菜单系统,路径中额外的变量将自动作为参数传递给回调函数,所以路径http://example.com/?q=insecure/page将为我们得到类型为'page'(‘页面’)的节点的所有的标题,如图20-3所示。

20-3 简单的页面节点标题列表

 

然而,该程序员犯了一个潜在的致命错误。将变量$type直接放到SQL中并且依赖PHP的变量扩展,这样整个站点就完全暴露了。让我们访问http://example.com/?'%20OR%20type%20=%20'story(参看图20-4)。

 

20-4 db_query()中不使用占位符引起的SQL注入

 

哎哟!我们可以在URL中输入SQL并执行它!一旦你让用户能够修改发送给数据库的SQL,那么你的站点很容易受到攻击。下面是改进后的版本:

function insecure_code($type = 'story') {

$sql = "SELECT title FROM {node} WHERE type = '%s'"; // Always use placeholder.

$result = db_query($sql, $type); // db_query() will sanitize placeholder.

$titles = array();

while ($data = db_fetch_object($result)) {

$titles[] = $data->title;

}

$output = $sql . theme('item_list', $titles); // Titles not sanitized

return $output;

}

 

现在当我们视图操纵URL时,db_query()将通过对单引号进行转义从而清理输入的数值。查询语句将变成下面的样子:

SELECT title FROM node WHERE type = 'page/' OR type = /'story'

 

由于我们没有名为"page/' OR type = /'story"的节点类型,这个查询很明显的会失败。然而,这仍然是个坏的实践,因为在这种情况下URL应该仅包含一个有限集的成员;也就是说,我们站点上的节点类型。我们知道都有哪些类型,所以我们需要确认用户提供的值是我们知道的值中的一个。例如,如果我们仅启用了pagestory两种节点类型,只有当URL中提供了这些类型时我们才继续处理。让我们添加一些代码用来检查这一点:

function insecure_code($type = 'story') {

if (!in_array($type, node_get_types())) {

watchdog('security', t('Detected possible SQL injection attempt.'),

WATCHDOG_WARNING);

return t('No such type.');

}

$sql = "SELECT title FROM {node} WHERE type = '%s'";

$result = db_query($sql, $type);

$titles = array();

while ($data = db_fetch_object($result)) {

$titles[] = $data->title;

}

// Apply check_plain() to all array members.

$titles = array_map($titles, 'check_plain');

$output = $sql . theme('insecure', $titles);

return $output;

}

function theme_insecure($titles) {

return theme('item_list', $titles);

}

这里我们添加了一个检查,用来确保$type是我们的已存在的节点类型中的一个,而且我们为系统管理员记录了一个方便的警告。我们还将用于结果显示的功能分解为一个单独的主题函数,这是一个更加Drupal的方式;这样任何人都可以通过定义一个新的主题函数来覆盖默认的输出(参看第8章)。还有,由于标题是用户提交的数据,我们在输出它们之前使用check_plain()对其进行处理。但是这还有一个安全漏洞。你能找到它么?如果不能的话,请看下文。

 

使用db_rewrite_sql()来保持私有数据的私有性

 

在前面的例子中列出节点对于第3方模块来说是个常见的任务(现在的用的少一些了,这是由于使用views模块可以很方便的通过web定义节点列表)。你可能会问:如果站点启用了节点访问控制模块,在前面的例子中哪段代码是用来保证我们的用户仅看到允许他们看到的节点集?这个问题问得很好,确实没有相应的代码。前面的代码将展示给定节点类型的所有节点,即便是节点访问模块限制访问的节点。这段代码非常傲慢,它没有考虑其它模块的感受!让我们修改一下代码。

修改前:

$result = db_query($sql, $type);

 

修改后:

$result = db_query(db_rewrite_sql($sql), $type); // Respect node access rules.

 

我们使用db_rewrite_sql()来对传递给db_query()的SQL参数进行了包装,函数db_rewrite_sql()允许其它模块修改SQL。核心模块中的一个重要例子就是节点模块,它改写针对表node(节点)的查询语句的。它首先检查node_access中是否存在可能限制用户访问节点的记录,然后向SQL中插入查询语句片段用来检查这些权限。在我们的这种情况下,节点模块将修改SQL,它向WHERE语句中插入一个AND查询片段,从而过滤掉用户无权访问的节点。如何做到这一点,以及更多关于db_rewrite_sql()的信息,请参看第5章。

 

动态查询语句

如果在你的SQL中,有多个只有在运行时才能确定的变量,这并不妨碍让你使用占位符。你将需要使用占位符字符串比如'%s' 或者 %d,通过编程来创建你的SQL,接着你需要传递一组值来填充这些占位符。如果你自己直接调用db_escape_string(),那么你就做错了。下面的例子展示了占位符的使用,这里假定我们想取出匹配特定节点类型的已发布节点的节点ID和标题:

 

// $types is an array containing one or more node type names

// such as page, story, blog, etc.

$count = count($types);

// Generate an appropriate number of placeholders.

$placeholders = array_fill(0, $count, "'%s'");

$placeholders = implode(',', $placeholders);

// $placeholders now looks like '%s', '%s', '%s'...

$sql = "SELECT n.nid, n.title from {node} n WHERE n.type IN ($placeholders)

AND status = 1";

$result = db_query(db_rewrite_sql($sql), $types);

 

运行完db_rewrite_sql()以后,db_query()的调用看起来的样子如下所示:

db_query("SELECT DISTINCT(n.nid), n.title from {node} n WHERE n.type IN

('%s','%s') AND status = 1", array('page', 'story');

 

现在当db_query()执行时,将清理节点类型的名称。如果你想知道具体的缘由,可参看includes/database.inc中的db_query_callback()。

下面是另一个例子。有时你处在这样的一种情况,你想在一个查询的WHERE语句中添加一些AND限制条件来限制查询语句。此时,你也需要小心点使用占位符。在下面的例子中我们假定$uid $type的值都是有效的(例如,3和page(页面))。

 

$sql = "SELECT n.nid, n.title FROM {node} n WHERE status = 1";

$where = array();

$where_values = array();

 

$where[] = "AND n.uid = %d";

$where_values[] = $uid;

 

$where[] = "AND n.type = '%s'";

$where_values[] = $type;

 

$sql = $sql . ' ' . implode(' ', $where) ;

// $sql is now SELECT n.nid, n.title

// FROM {node} n

// WHERE status = 1 AND n.uid = %d AND n.type = '%s'

 

// The values will now be securely inserted into the placeholders.

$result = db_query(db_rewrite_sql($sql), $where_values));

 

 
g089h515r806
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
php编写接口返回json格式结果
chinajobs的专栏
07-18 4553
header("content-type:application/json; charset=utf-8");   require $_SERVER["DOCUMENT_ROOT"]."/common.inc.php";    //require $_SERVER["DOCUMENT_ROOT"]."/mcweb/function.php";   $reportarr['haveTraffi
Drupal7 db_query SQL查询运用
weixin_33766168的博客
01-08 224
2019独角兽企业重金招聘Python工程师标准>>> ...
关于koa使用db.query内部回调后 后续无法进行执行
小人物的点点滴滴
05-17 257
问题: 在db.query的回调执行完后后续我还要执行代码但是query内的回调执行完后不会结束,代码就卡在那边了 代码: 解决: 外层套一个promise
Drupal专业开发指南20 编写安全代码(4)
03-30 2074
权限和页面回调           译者:老葛 Eskalate科技公司 当你编写自己的模块时,需要注意的另一个方面是“access”键,你会在菜单钩子中定义的每个菜单项中用到它。在前面我们用来说明不安全代码的例子中,我们这样使用“access”键: /* * Implementation of hook_menu() */ function insecure_menu($may_c
Drupal专业开发指南 第22 Drupal优化(1)
04-04 6605
优化Drupal.                            译者:老葛        ESKALATE 科技公司     Drupal的内核架构非常简洁并且非常灵活。然而,这种灵活性是有代价的。当启用的模块增加时,处理一个请求的复杂度也会增加。这意味着将耗费更多的服务器资源,必须实现一些策略,在一个站点日渐流行时,来保证Drupal的极其著名的灵活性。通过适当的配置,
2023年全球最受欢迎的前十个PHP框架
WPHunter的编程技术资料库!
12-26 1462
一般情况下,PHP程序员经常会借助PHP框架来编写代码,而不是从零开始。那么什么是PHP框架,为什么要使用它们,及与大家分享一些最受欢迎的PHP框架。
drupal7翻译
热门推荐
Tech My Life
09-11 8万+
drupal7英汉对照   "Home"   "首页"   "User interface"   "用户界面"   "Title"   "标题"   "Body"   "正文"   "Next"   "下一个"   "user"   "用户"   "Pages"   "页面"   "Save configuration"   "保存设置"   "Reset to
编写快速的MySQL查询
代码教主
06-11 370
编写良好的SQL与未编写SQL之间的差异是巨大的,并且在需求较高的站点上进行生产时,它们会严重影响服务的性能和可靠性。 在本指南中,我将讨论如何编写快速查询以及哪些因素导致它们运行缓慢。 为什么选择MySQL? 今天,关于大数据和新技术的讨论很多。 NoSQL和基于云的解决方案很棒,但是许多流行的Web软件(例如WordPress,phpBB,Drupal,VBulletin Forum...
drupal6翻译
Tech My Life
09-07 6万+
# Chinese, Simplified translation of Drupal core (6.20) # Copyright (c) 2011 by the Chinese, Simplified translation team # msgid "" msgstr "" "Project-Id-Version: Drupal core (6.20)\n" "POT-Crea
Drupal专业开发指南 第二版(中文) for Drupal6
08-12
Drupal专业开发指南 第二版(中文) for Drupal6
Drupal专业开发指南
05-26
Drupal专业开发指南(中文版) Drupal 是当今最流行的内容管理系统(CMS)之一。本书全面 讲授了 Drupal 定制开发的方法,剖析了 Drupal 强大的体系结构。 • 本书由 Drupal 核心开发人员编写 • 全面揭示了 ...
drupal6专业开发指南中文版附代码
05-25
电子书里面包含了全套教材的源码。要成为专业drupal开发人员,此书必看。
drupal专业开发指南
04-06
汉化版的drupal 入门级的读物,适合有PHP基础的人员
drupal-9.0.1_drupal9_drupal9教程_drupal9开发实例_
09-29
drupal9.0.1全新版本让你刺激不已,他*的下个东西这么难的马。***&&&%%¥¥##
SQLAlchemy 连接池
youhebuke225的博客
06-17 238
调整这些参数可以帮助你更好地管理数据库连接,并减少因连接超时或服务器断开连接而导致的问题。记得根据你的应用程序的需求和数据库服务器的配置来合理设置这些参数。在 SQLAlchemy 中,确实可以通过配置连接池的参数来管理连接的超时和回收,从而确保连接在需要时能够被重新建立。SQLAlchemy 使用的是。作为其默认的连接池实现。为了配置这些参数,你可以在创建引擎时将它们传递给。
【AI+编程】工作日常场景随时可以AI编程,记一个问答SQL快速导出数据日常示例
月晓风清
06-15 469
为了实现你需要的操作,即以问题名称作为表头,答案作为内容导出,你可以通过JOIN操作连接三个表,然后利用动态SQL语句进行行转列转换(PIVOT)。然后通过执行这个动态生成的SQL,你可以得到一个表格,表中的每一行表示一个成员,对应每个问题的答案作为列数据。然后,在动态生成的SQL语句中利用JOIN把db_member、db_question和db_answer连接起来,并根据question_id和member_id进行匹配,以输出每个成员对应的问题答案。下面是假定表结构,实际场景和它类似。
PostgreSQL源码分析——CREATE DATABASE
让我思考一下
06-18 571
这里我们分析一下在PostgreSQL中创建数据库的源码,在分析源码之前,最好先阅读《PostgreSQL指南内幕探索》的第一,数据库集簇、数据库和数据表,弄清其空间布局,理解PG中,数据库、表、元组是怎么布局的。通俗一点说,创建一个数据库相当于创建一个数据目录,在这个目录下,存放该数据库中定义的表、索引等对象。
PostgreSQL源码分析——INSERT
最新发布
让我思考一下
06-18 292
这里我们对INSERT语句进行分析, 只分析其宏观过程,具体细节后续再分析。我们就分析下面的语句的执行过程。
drupal 查询 condition使用 from_unixtime()函数报错
10-28
Drupal中,查询条件使用from_unixtime()函数时可能会出现报错的情况。这是因为Drupal的数据库查询语句使用的是不同于常规SQL的查询方式。 在Drupal中,查询条件中使用函数时需要经过一定的处理才能正确使用。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值