ThinkPHP3.2.X SQL注入漏洞的解决方案

最新推荐文章于 2024-08-11 23:08:10 发布
最新推荐文章于 2024-08-11 23:08:10 发布
阅读量3.5k 收藏 6
点赞数
文章标签: thinkphp SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amaoatao/article/details/104759223
版权
本文详细介绍了针对ThinkPHP 3.2.x版本的SQL注入漏洞的解决方案,包括在入口文件中过滤SQL关键字,增强密码安全性,如增加密码长度和级别检查,以及对API接口的数据加密。在运维层面,建议使用复杂数据库密码,限制服务器开放端口,安装杀毒软件并保持系统更新。同时,强调了开启服务器日志和金额操作的安全措施,如金额的AES加密和日志记录,以提高系统的安全性。
摘要由CSDN通过智能技术生成

程序部分

1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意

2.任何密码要有等级检测, 密码位数提高到8位以上

3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过

4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置)

5.密码要先在本地加密(SHA1)

6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密钥, 注意同一项目密钥一旦确定最好不要修改)

7.涉及金额的重要项目, 金额先用用户的ID连接再使用AES加密, 如用户的ID为1, 金额为1.00, 那组合成AesEn(‘1_1.00’), 解密后要对用户ID比对. 防止直接串改数据库. 同时可以有一项不加密的金额字段, 只是做为程序员用

8.涉及金额项目要有日志, 日志变更和余额变更做好封装

运维部分

1.服务器数据库密码使用10位以上数字字母符号混合的字符串

2.服务器尽量少开端口, 一般80, 443, 22端口即可, 另外最好把22端口修改为其它端口

3.涉及Windows服务器需要安装微软自带杀毒软件, 及打开防火墙, 同时系统安装完之后要先把所有的补丁打上之后再作其它操作, 3389端口最好也要修改一下

4.打开服务器的各种日志, 如nginx访问日志, mysql的日志等, lnmp默认是不打开的

附上代码:

//防止SQL注入代码,请将该文件中前两段代码添加到自己项目index.php的最前面即可
/*****防止SQL注入代码 begin*****/
//判断是否含有注入并跳出
function sqlInj($value) {
    //过滤参数
    $arr = explode('|', 'UPDATEXML|UPDATE|WHERE|EXEC|INSERT|SELECT|DELETE|COUNT|CHR|MID|MASTER|TRUNCATE|DECLARE|BIND|DROP|
最低0.47元/天 解锁文章
qq_2190630418
关注
ThinkPHP_3.1.3 SQL注入漏洞复现
weixin_44611282的博客
05-22 8815
首先在网上下载对应的压缩包。 漏洞位于ThinkPHP/Lib/Core/Model.class.php 文件的parseSql函数 将这一条修复语句注释后开始一步步复现 在ThinkPHP目录下创建app文件夹后创建index.php 访问相应页面,显示这个则说明成功。 成功后app文件夹下会生成工程文件 然后开始配置数据库(在app/conf/config.php下配置) <?php return array( //'配置项'=>'配置值' // 添加数据库配置信息 'DB_TYPE
ThinkPHP3.2 框架sql注入漏洞分析(2018-08-23)
Fly_鹏程万里
12-11 6333
0x00 前言 北京时间 2018年8月23号11:25分 星期四,tp团队对于已经停止更新的thinkphp 3系列进行了一处安全更新,经过分析,此次更新修正了由于select(),find(),delete()方法可能会传入数组类型数据产生的多个sql注入隐患。 0x01 漏洞复现 下载源码: git clone https://github.com/top-think/thinkp...
sql注入实战——thinkPHP
最新发布
Sesessep的博客
08-11 1181
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15中,改名为thinkphp再将think-5.0.15放到WWW文件夹中输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
Thinkphp框架 3.2.x sql注入漏洞
小小猪的博客
11-15 1587
Thinkphp框架 3.2.x sql注入漏洞 环境搭建 程序下载地址:地址PHPstudy:Apache+php7.1+MySQL 工具:PHPstorm 首先建立一个数据库名为:thinkphp 建立一个表名为:user 添加两个字段:name,pass thinkphp3.2版本和之前的5版本略有不同,它的数据库信息文件是在 这个文件:thinkphp/ThinkPHP/Conf/convention.php在这里...
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5822
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
Thinkphp3.2.3最新版update注入漏洞
Fly_鹏程万里
12-13 9625
简要描述  thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。 Git补丁更新 新增加了BIND表...
Thinkphp 3.2.3 sql注入漏洞
giaogiao123的博客
08-27 1370
源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 创建一个test数据库 然后开启mysql命令行 CREATE TABLE `Course`( `id` VARCHAR(20), `username` VARCHAR
ThinkPHP3.2.3完全开发手册.
04-28
- 修正可能存在的SQL注入漏洞,提高系统安全性。 - 支持全局路由定义,方便进行URL管理和优化。 - 插件控制器的支持增强,方便扩展功能。 - 对模板路径进行了灵活设置,提高了定制化程度。 - 日志目录按模块...
开发知识点-Thinkphp框架
aming小老弟
10-11 473
作为一个整体开发解决方案ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
thinkphp框架中的缓存机制及优化策略
ThinkPHP框架概述 ## 1.1 介绍ThinkPHP框架 ThinkPHP是一款开源的PHP框架,致力于快速、简单的开发高质量的Web应用程序。它采用了MVC(模型-视图-控制器)的设计模式,具有良好的扩展性和可维护性。ThinkPHP框架...
think3.2.3_sql注入分析1
08-03
think3.2.3 sql 注入 | h3art3arsthink 系列之 thinkphp3.2.3 sql 注入漏洞总结漏洞代码实例$Options 参数
探索ThinkPHP5.1中的权限管理和用户认证
ThinkPHP5.1是ThinkPHP框架的最新版本,它在5.0版本的基础上进行了全面升级和优化,提供了更强大的功能和更好的性能。 ## 1.2 ThinkPHP5.1新特性介绍 ThinkPHP5.1引入了诸多新特性,包括但不限于以下几点: - 新增...
tp 框架防sql注入
qq_42217190的博客
06-24 523
在 application/config.php 中有个配置选项 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则 则会调用这些函数 自动过滤 // 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars,addslashes,strip_tags', htmlspecialchars:防XSS攻击,尖括号等转义过滤 addslashes:防SQL注入,在每个双引号(")前添加反斜杠 strip_tags:剥去字符.
ThinkPHP3.2.x SQL注入
LYJ20010728的博客
08-03 1482
ThinkPHP3.x SQL注入初始配置数据库配置where注入控制器配置exp注入控制器配置bind注入控制器配置漏洞利用where注入exp注入bind注入漏洞分析where注入exp注入bind注入参考文章 初始配置 这里利用ThinkPHP3.2.3做示例,戳此进行下载 ThinkPHP中的常用方法汇总总结:M方法,D方法,U方法,I方法 数据库配置 数据库相关内容配置,文件位置Application/Home/Conf/config.php <?php return arr
thinkphp 3.2预防sql注入、对查询的sql过滤
tingliting的专栏
01-04 6731
thinkphp 3.2预防sql注入、对查询的sql过滤         对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:             $User = M("User"); // 实例化User对象             $User->find($_GET["id"]);     
ThinkPHP防止SQL注入攻击的方法
Oona_01的博客
06-28 103
ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时。参数绑定可以防止SQL注入攻击,因为绑定的参数会被自动转义,而不是直接插入到SQL语句中。以下是在ThinkPHP中使用参数绑定的一些建议。在ThinkPHP中,参数绑定是一种安全的方式,用于处理用户输入,特别是在构建数据库查询时,参数绑定可以防止SQL注入攻击,所以本文将给大家介绍了ThinkPHP防止SQL注入攻击的方法,需要的朋友可以参考下。通过使用参数绑定,可以有效地防止SQL注入攻击,并确保应用的安全性。
thinkPHP防止SQL注入的建议
QinDaBao_的博客
06-12 2517
查询条件尽量使用数组方式,这是更为安全的方式; 如果不得已必须使用字符串查询条件,使用预处理机制(3.1版本新增特性); 开启数据字段类型验证,可以对数值数据类型做强制转换;(3.1版本开始已经强制进行字段类型验证了) 使用自动验证和自动完成机制进行针对应用的自定; 对所有公共的操作方法做必要的安全检查,防止用户通过URL直接调用; 不要缓存需要用户认证的页面; 对用户的上传文件,做必...
tp3.2 mysql elt出错_针对TP3.2.X SQL注入漏洞的解决办法
weixin_36469247的博客
01-19 231
程序部分1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意2.任何密码要有等级检测, 密码位数提高到8位以上3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置)5.密码要先在本地加密(SHA1)6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密钥, 注意同一项目密钥一...
ThinkPHP v3.2.x SQL注入与文件读取反序列化POP链解析
"ThinkPHP v3.2.X版本中的SQL注入与文件读取漏洞通过反序列化POP链进行利用的详细分析" 在ThinkPHP v3.2.*版本中,存在SQL注入和文件读取的安全漏洞,主要是由于框架对对象反序列化过程中的不安全操作引起的。这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值