laravel mysql注入_PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

最新推荐文章于 2024-04-23 05:15:00 发布
最新推荐文章于 2024-04-23 05:15:00 发布
阅读量383 收藏
点赞数
文章标签: laravel mysql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36182029/article/details/113395570
版权
本文介绍了 SQL 注入的危害,并提出使用 Laravel 的 Eloquent ORM 作为防止 PHP 项目中 SQL 注入的安全措施。通过示例展示了如何安装、配置 Eloquent,以及如何利用 Eloquent 创建数据表、模型,并进行安全的数据库操作。
摘要由CSDN通过智能技术生成

1392b94fea7aec17d8fa9f388762627f.png

OWASP (Open Web Application Security Project) 是一个记录当前 web 应用所受威胁情况的项目。我一直都在关注他们的网站,从 2010,2013 和 2017 年的报告中我发现了一些相似之处,SQL 或其他类型的注入威胁都是高居榜首。

这是个心腹大患。

它会导致你破产,因此这个事情关乎存亡,你单位应该着力处理此类问题避免它的出现。

什么是注入?

所谓注入,就是数据没有经过过滤,将无法信任的内容直接写入了系统解释器,这种行为会导致对站点产生SQL注入,更糟糕的是,攻击者可能会获得对系统的全部权限。

举个例子:

看下面的恶意查询语句,它会将含有恶意行为的SQL语句放在$name变量里,然后允许用户通过POST的方式传递给PHP脚本,从而达到最终使用传入的恶意代码进行攻击的目的。

//将恶意代码, DROP TABLE写入$name变量

`$name = "Mark';DROP TABLE users; -- ";\

$query = "SELECT * FROM users WHERE name='$name'";`

经过PHP脚本解析,这会最终生成这样的SQL语句:

SELECT * FROM users WHERE name='Mark';DROP TABLE users; -- '

正如你猜的那样,上述语句会将整个users数据表从数据库里删除掉。

正如尤达说的:

这太危险了,是的,太危险了。

如何防止对 PHP 应用的恶意注入?

首先,其实并没有真的往数据库里注入什么东西,这种错误只是由于没有正确地将查询语句格式化。解决的方法很简单,只要正确地格式化 SQL 语句,或者是直接把查询语句和数据分开处理。

怎么做呢?用参数化查询对数据格式化,并使查询语句与数据分离。

使用参数化查询,可以确保程序远离注入风险。

例子如下:

`$statement = $db->prepare('SELECT * FROM table WHERE id = ? and name = ? ');\

$statement->execute([1, "Mark"]);`

除此之外,还有一种安全的做法,就是在项目中使用 ORM ( 对象关系映射)或者是查询构造器。

我要推荐的是著名的 PHP 框架 Laravel 也在用的 Eloquent。接下来,我会教你如何安装和使用,它可以帮助我们做好数据格式化的工作,从而有效避免注入危害。

更多关于 Eloquent 知识可以参考 laravel docs.

安装 Eloquent

准备工作

请确保你已经安装了 PHP 和 Composer。

正式开始

最好在项目开始之初就安装 ORM。

假设我们想建一个博客应用,包含一个 posts 表和一个 users 表。

初始化配置

首先要做的是为程序创建 composer.json 文件。 你可以在终端上运行 composer init  并按照终端上的提示进行操作。

44ccae497ec18c3c4e55772da710e2de.png

当他要求您来定义依赖关系的时候, 写入 illuminate/database . 最后的输出应该和上面的图片中显示的一样。现在你就可以在项中通过运行  composer install  来安装相应的依赖了。

或者,如果你已经有了 composer.json 这个文件, 你可以直接在终端输入  composer require illuminate/database 来安装相应的依赖。

现在我们需要在应用程序的根目录中创建  start.php 文件并把下面的代码粘贴到文件中。我会在下面解释他们的作用。

require "vendor/autoload.php";

//If you want the errors to be shown *是否显示错误

error_reporting(E_ALL);

ini_set('display_errors', '1');

use Illuminate\Database\Capsule\Manager as Capsule;

$capsule = new Capsule;

$capsule->addConnection([

"driver" => "mysql",

"host" =>"127.0.0.1",

"database" => "test",

"username" => "root",

"password" => "root"

]);

//Make this Capsule instance available globally. *要让 capsule 能在全局使用

$capsule->setAsGlobal();

// Setup the Eloquent ORM.

$capsule->bootEloquent();

在第一行我们需要引入 vendor/autoload.php 文件。这样我们才能加载到 vendor 目录下的所有包。

然后我们引入 use Illuminate\Database\Capsule\Manager as Capsule 并起别名 ,这样子我们就能使用 eloquent 了。

接下来, 我们创建一个 Capsule 对象并初始化我们的数据库连接, 如上  bootEloquent() 。

现在, 很明显我们要做的第一件事就是创建名为 test 的数据库,请确保你在自己本地输入的是正确的用户名和密码.

Migrations / 数据迁移

使用 Eloquent 的一个最大的好处就是可以使用 migrations。

如果你不了解什么是 migrations,可以看下面的解释:

migration 是一种可以通过 PHP 代码创建数据表的方式。

在 migrations.php 文件中创建 migration:

require "start.php";

use Illuminate\Database\Capsule\Manager as Capsule;

Capsule::schema()->create('users', function ($table) {

$table->increments('id');

$table->string('name');

$table->string('email')->unique();

$table->string('password');

$table->timestamps();

});

Capsule::schema()->create('posts', function ($table) {

$table->increments('id');

$table->string('title');

$table->text('body');

$table->integer('created_by')->unsigned();

$table->timestamps();

});

上面这段代码,通过 Capsule 类创建了两个数据表,一个是 users 表,另一个是 posts 表,并且分别为他们定义了字段名。

运行这个文件,如果你看到白屏,就说明 migrations 运行成功了,现在就可以打开数据库看看是否生成了这两个表。

0c10e2d6e8c56f183afc323ecf0e59a1.png

Models

现在,唯一要做的就是创建对应数据表的 Model 类。

用了 Eloquent,你就可以在 Model 类里操作相应的数据表,执行查询语句了。

创建一个 Models 文件夹,然后在其中分别创建 User.php 和 Post.php 文件:

namespace Models;

use Illuminate\Database\Eloquent\Model;

class User extends Model

{

/**

* 对应的数据表

*

* @var string

*/

protected $table = "users";

/**

* 允许插入的字段

*

* @var array

*/

protected $fillable = [

'name', 'email', 'password'

];

/**

* 需要被隐藏的字段

*

* @var array

*/

protected $hidden = [

'password', 'remember_token',

];

/*

* 给 User 类添加方法

*

*/

public function posts()

{

return $this->hasMany(Post::class, 'created_by');

}

}

And

namespace Models;

use Illuminate\Database\Eloquent\Model;

class Post extends Model

{

/**

* 对应的数据表

*

* @var string

*/

protected $table = "posts";

/**

* 允许插入的字段

*

* @var array

*/

protected $fillable = [

'title', 'body', 'created_by'

];

}

在 composer.json 文件中加入如下代码,以确保上面创建的类文件能够被自动加载。

"autoload": {

"classmap": [

"Models" // Folder where all your models are

]

}

然后执行 composer dump-autoload。

通过 Eloquent 操作数据库

基本大功告成了。 测一下吧,在根目录创建 index.php 文件,添加如下代码:

require "start.php";

use Models\User;

use Models\Post;

User::create(

[

'name' => 'Mark Mike',

'email' => 'temp-email-1@mark.com',

'password' => '1234'

]

);

Post::create(

[

'title' => 'New Blog Post',

'body' => 'New Blog Content',

'created_by' => 1

]

);

print_r(User::all());

print_r(Post::all());

print_r(User::find(1)->posts);

如你所见,用 Eloquent 操作数据库就是这么简单。除此之外,Eloquent 还提供了很多方法供你使用,而且很安全。

结语:

Eloquent 就像是给你的 SQL 查询加了一道安全层,它可以过滤掉我们在执行 SQL 查询时所犯的错误。如果你想用它,但是又不想安装 Laravel 框架,那么我想你已经从这篇文章中学到了该如何去做。这个优雅的 SQL 助手,将帮助你写出更干净且更安全的代码。

青云若水
关注
Laravel 预防 SQL 注入
wgchen
07-29 1128
Laravel 预防 SQL 注入
php mysql orm_PHP基于ORM操作MySQL数据库 - strtolower
weixin_39976499的博客
01-19 133
...   1.将字符串转换成小写strtolower(): 该函数将传入的字符串参数所有的字符都转换成小写,并以小定形式放回这个字符串2.将字符转成大写strtoupper(): 该函数的作用...ORM----Oriented Relationship Mapper,即用面向对象的方式来操作数据库。归根结底,还是对于SQL语句的封装。本文我们主要大家介绍PHP基于ORM方式操作MySQL数...
mysql 8.0 自定义函数_PHP+Mysql防止SQL注入的方法(life)
weixin_39929377的博客
11-26 212
这篇文章介绍的内容是关于PHP+Mysql防止SQL注入的方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下我的官方群点击此处。方法一:mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 !$sql = "select count(*) as ctr from users where username =...
laravel8 PDO防SQL注入的形式操作
qq_34913864的博客
11-24 1160
1.采用PDO防SQL注入的形式操作 public static function addData($data){ return DB::insert("insert into kao_article(title,content) values (:title,:content)",[ ':title' => $data['title'], ':content' => $data['content'] ]);
PHP 安全:如何防止PHP中的SQL注入
最新发布
新华编程特战队
04-23 3085
SQL注入防护对于确保数据库的安全性完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
Laravel使用原生sql语句并调用的方法
10-16
Laravel框架中,有时我们需要使用原生SQL语句来执行复杂的数据库操作,因为这可能会比使用Eloquent ORM或查询构建器更加灵活高效。本文将详细介绍如何在Laravel使用原生SQL语句以及如何调用返回的结果。 首先...
laravel框架数据库操作、查询构建器、Eloquent ORM操作实例分析
10-15
在这些操作中,Laravel 通过参数绑定来防止 SQL 注入,这不仅提高了安全性,也使得代码更易于维护。 接下来,我们转向查询构建器。查询构建器提供了一种更面向对象的方式来执行 SQL 查询,而无需直接编写 SQL 语句...
Laravel_hsh_board:这是我的Laravel简单板
02-21
Eloquent ORM使得与MySQL数据库的交互变得轻松,通过定义模型数据库表之间的映射,可以使用面向对象的方式来操作数据,避免了直接编写SQL语句的繁琐。在5.7.27版本的MySQL中,可能包含了ACID事务支持、InnoDB存储...
PHP+MysqlSQL注入源码 下载
11-03
SQL注入是一种常见的Web应用程序攻击手段,黑客通过构造恶意SQL语句,利用程序中的不安全输入处理,来获取、修改、删除或者控制数据库中的敏感数据。 首先,我们需要理解SQL注入的基本原理。当用户输入的数据未经...
laravel异步mysql_Swoole+Lumen:同步编程风格调用MySQL异步查询
weixin_42402241的博客
01-19 277
网络编程一直是PHP的短板,尽管Swoole扩展弥补了这个缺陷,但是其编程风格偏向了NodeJS或GoLang,与原本的同步编程风格迥然相异。目前PHP的大部分主流应用框架依然是同步编程风格,所以一直在探索Swoole与同步编程结合的途径。lumen-swoole-http正是连接同步编程Lumen异步编程Swoole的一座桥梁,有兴趣可以关注一下。LNMP的不足LNMP是经典的Web应用架构组...
laravel框架解决sql注入问题
qq_39634880的博客
09-02 1064
php laravel sql 查询 ,解决注入问题
laravel打印sql语句_采用PHP预处理防御SQL注入
weixin_39869791的博客
11-26 388
前言当我们需要编写一个根据用户输入进行查询反馈的网页时,首先是如何构建一个能够满足用户查询要求的SQL语句;其次,则需要考虑如何防御SQL注入。如何防御SQL注入关系到整个数据库,乃至服务器的安全,所以是一个不用忽视的问题,也是这篇文章所要论述的重点。文章接下来的讲述将会以PHP + MySQL的组合进行举例说明。利用字符串构造SQL语句很多同学在初次编写调用数据库相关的程序时,第一直觉采用的就是...
模仿laravel关于php防止sql注入操作疑问
weixin_42269583的博客
04-19 1785
模仿laravel关于php防止sql注入操作疑问 作者在PHP开发后端一直用laravel,但是由于在开发游戏网站时前端明显不适合用laravel处理,但是又想借鉴laravelsql注入的处理方法,就去看了laravel关于database部分代码,然后写了一个简易测试。就4个文件 database.php --------------------配置文件 Connection.class....
Laravel 安全:避免 SQL 注入
weixin_30855099的博客
09-19 1158
当你使用 Eloquent 查询时,如: User::where('name', $input_name)->first(); Eloquent 内部使用的是 PDO 参数绑定,所以你的请求是安全的。虽然如此,在一些允许你使用原生 SQL 语句的地方,还是要特别小心,例如 whereRaw 或者 selectRaw 。如下: User::whereRaw("n...
sql注入漏洞_浅析PHP框架Laravel最新SQL注入漏洞
weixin_39866265的博客
12-09 260
PHP知名开发框架Laravel,前几天在官方博客通报了一个高危SQL注入漏洞,这里简单分析下。首先,这个漏洞属于网站coding写法不规范,官方给了提示:但官方还是做了修补,升级最新版本V5.8.7可修复。我们先定位下这里:IlluminateValidationRule官方推荐的写法是:Rule::unique('users')->ignore($id),如果网站coding没有预先对$...
如何在 PHP防止 XSS
allway2的博客
07-24 2328
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射基于DOM的XSS漏洞相反。现在,当我问我的大多数客户学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
FatalThrowableError in index.php line 554:Type error: Argument 1 passed
wuyoulv的博客
11-03 5622
错误描述:FatalThrowableError in index.php line 554:Type error: Argument 1 passed to Illuminate\Database\Eloquent\Relations\index::save() must be an instance of Illuminate\Database\Eloquent\Model, instance
Laravel 存在SQL注入漏洞
小小猪的博客
11-02 3489
Laravel 存在SQL注入漏洞 漏洞描述: 该漏洞存在于Laravel的表单验证功能,漏洞函数为ignore(),漏洞文件位于/vendor/laravel/ramework/src/Illuminate/Validation/Rules/Unique.php。有时候开发者希望在进行字段唯一性验证时忽略指定字段以及字段值,通常会调用Rule类的ignore方法。该方法有两个参数,第一个参数为字段值,第二个参数为字段名,当字段名为空时,默认字段名为“id”。如果用户可以控制ignore()方法的参数值
Laravel Indexer包:动态监控与优化SELECT查询性能
然而,由于它会动态地在数据库中添加删除索引,这在生产环境中可能会导致不必要的性能开销,甚至可能引起性能问题,因此强烈建议不要在生产环境中使用Laravel Indexer。 Laravel Indexer支持PHP 7及以上版本,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值