ThinkPHP3.2.X SQL注入漏洞的解决方案

最新推荐文章于 2024-06-28 18:46:14 发布
最新推荐文章于 2024-06-28 18:46:14 发布
阅读量3.5k 收藏 5
点赞数
文章标签: thinkphp SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amaoatao/article/details/104759223
版权

程序部分

1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意

2.任何密码要有等级检测, 密码位数提高到8位以上

3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过

4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置)

5.密码要先在本地加密(SHA1)

6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密钥, 注意同一项目密钥一旦确定最好不要修改)

7.涉及金额的重要项目, 金额先用用户的ID连接再使用AES加密, 如用户的ID为1, 金额为1.00, 那组合成AesEn(‘1_1.00’), 解密后要对用户ID比对. 防止直接串改数据库. 同时可以有一项不加密的金额字段, 只是做为程序员用

8.涉及金额项目要有日志, 日志变更和余额变更做好封装

运维部分

1.服务器数据库密码使用10位以上数字字母符号混合的字符串

2.服务器尽量少开端口, 一般80, 443, 22端口即可, 另外最好把22端口修改为其它端口

3.涉及Windows服务器需要安装微软自带杀毒软件, 及打开防火墙, 同时系统安装完之后要先把所有的补丁打上之后再作其它操作, 3389端口最好也要修改一下

4.打开服务器的各种日志, 如nginx访问日志, mysql的日志等, lnmp默认是不打开的

附上代码:

//防止SQL注入代码,请将该文件中前两段代码添加到自己项目index.php的最前面即可
/*****防止SQL注入代码 begin*****/
//判断是否含有注入并跳出
function sqlInj($value) {
    //过滤参数
    $arr = explode('|', 'UPDATEXML|UPDATE|WHERE|EXEC|INSERT|SELECT|DELETE|COUNT|CHR|MID|MASTER|TRUNCATE|DECLARE|BIND|DROP|
最低0.47元/天 解锁文章
qq_2190630418
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5617
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
thinkphp 3.2预防sql注入、对查询的sql过滤
tingliting的专栏
01-04 6713
thinkphp 3.2预防sql注入、对查询的sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
ThinkPHP3.2.3代码审计之sql注入
2301_79724395的博客
05-31 806
对于这个修复,说实话我很难理解是怎么实现修复的,只能去看别人的解释,首先造成我们漏洞原因就是用户的输入被带到了危险执行的地方,在我们这里,option就是相当于用户的输入,我们可以控制,而获取我们的sql语句的时候,也是根据option来控制的,而这个修复的话,其实就是要我们理解一下。我们回忆一下,这个漏洞关键是我们exp可控,导致我们在build我们sql语句的时候,可以根据对exp的控制,满足我们的if条件控制我们的sql语句,当然我们看到还有许许多多的解析,那他们能利用吗?
ThinkPHP如何防止SQL注入攻击
JimWen's Blog
12-28 1077
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP中使用参数绑定的一些建议。
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4501
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
Thinkphp框架 3.2.x sql注入漏洞
小小猪的博客
11-15 1565
Thinkphp框架 3.2.x sql注入漏洞 环境搭建 程序下载地址:地址PHPstudy:Apache+php7.1+MySQL 工具:PHPstorm 首先建立一个数据库名为:thinkphp 建立一个表名为:user 添加两个字段:name,pass thinkphp3.2版本和之前的5版本略有不同,它的数据库信息文件是在 这个文件:thinkphp/ThinkPHP/Conf/convention.php在这里...
think3.2.3_sql注入分析1
08-03
think3.2.3 sql 注入 | h3art3arsthink 系列之 thinkphp3.2.3 sql 注入漏洞总结漏洞代码实例$Options 参数
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1460
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1566
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
ThinkPHP防止SQL注入攻击的方法
最新发布
Oona_01的博客
06-28 34
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP中使用参数绑定的一些建议。在ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时,参数绑定可以防止SQL注入攻击,所以本文将给大家介绍了ThinkPHP防止SQL注入攻击的方法,需要的朋友可以参考下。通过使用参数绑定,可以有效地防止SQL注入攻击,并确保应用的安全性。
thinkPHP3.2.3中sql注入漏洞
qq_52988816的博客
05-26 1917
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 首先配置一下数据库 相对于TP5,可以先看下框架的特定函数 thinkphp3内置了很多大写函数 A 快速实例化Action类库 B 执行行为类 C 配置参数存取方法 D 快速实例化Model类库 F 快速简单文本数据存取方法 I 获取系统输⼊变(与tp5input方法类似) L 语言参数存取方法 M 快速高性能实例化模型 R 快速远程调用Action类方法 S 快速缓存存取方法 U URL动态生成和重定向方法 W 快速Widget输
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
4. 数据库操作:提供统一的数据库访问接口,支持SQL预处理,有效防止SQL注入,同时支持多数据库类型,如MySQL、SQLite等。 5. 自动加载:自动加载类库功能,减少了手动引入文件的繁琐,提高了开发效率。 6. 错误和...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP链1
08-03
ThinkPHP v3.2.X 反序列化漏洞SQL注入及文件读取利用分析》 ThinkPHP是一款广泛使用的PHP框架,其3.2.*版本存在反序列化漏洞,允许攻击者通过精心构造的数据包触发特定行为,如SQL注入和文件读取。本文将深入...
thinkphp3.2.x新增图片上传缩略图裁剪类
06-26
调用方式很简单 get_sc($cover_id,[$width=180,$height=auto,$cut]) @param $cover_id 图片ID___ @param $width 宽度___ @param $height 高___ @param $cut 是否切割 默认不切割___ 直接返回新图片的url ...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
Thinkphp 3.2.3 sql注入漏洞
giaogiao123的博客
08-27 1340
源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 创建一个test数据库 然后开启mysql命令行 CREATE TABLE `Course`( `id` VARCHAR(20), `username` VARCHAR
tp 框架防sql注入
qq_42217190的博客
06-24 468
在 application/config.php 中有个配置选项 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则 则会调用这些函数 自动过滤 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags', htmlspecialchars:防XSS攻击,尖括号等转义过滤 addslashes:防SQL注入,在每个双引号(")前添加反斜杠 strip_tags:剥去字符.
thinkphp3.2.x rce
12-18
这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值