一、SQL注入:
将未经过滤的用户输入拼接到 SQL 语句中
$product = DB::select("select * from products where id = '".$_GET['id']."'");
//这里id用户可以输入任何内容,从而导致sql语句可以被拼接成恶意攻击语句
避免sql注入:
在 PHP 的项目里要避免 SQL 注入需要两个条件:
- 使用 Prepared Statement + 参数绑定
- 绝对不手动拼接 SQL
Prepared Statement 简单来说就是把要执行的 SQL 与 SQL 里的参数分开,在 Laravel 里所有的 SQL 查询都是 Prepared Statement 模式
不出现下面这种直接拼接的SQL语句
$product = DB::select("select * from products where id = '".$_GET['id']."'");
二、XSS漏洞:
将未经过滤的用户输入原样输出到网页中
js代码保存到数据库后原样输出到网页会被执行
尽量避免原样输出
//在 Laravel 中要输出文本有两种方式:{{ $str }} 和 {!! $str !!},前者等同于 echo
//htmlspecialchars($str) 而后者则是 echo $str,
//htmlspecialchars() 函数默认会把 <>&" 这个 4 个字符分别转义成 <、&lgt;、& 和 ",因此我们只要保证我们一直在用 {{ }} 来输出就没有问题。
三、CSRF攻击
利用用户的身份认证信息在用户当前已登录的 Web 应用程序上执行非用户本意的操作
举个例子,假如 Laravel China 退出登录的请求方式和路由是 Get /logout,那么恶意用户只要在 LC 的帖子里插入一张图片,图片的 SRC 是 https://laravel-china.org/logout,那么任何访问这个帖子的用户都会被强制退出,因为浏览器在请求这个 URL 之前并不知道这个 URL 是不是一张真的图片,那么就会带着当前用户的 Cookie 用 Get 方式去请求这个退出页面,也就导致当前用户被强制退出。
那么是不是把请求方式改成 Post 就没有问题了呢?确实无法通过图片的方式来触发,但是恶意用户可以在其他站点构造一个页面,内容如下:
<form action="https://laravel-china.org/logout" method="post" id="form"></form>
<script>document.gentElementById('form').submit();</script>
然后恶意用户诱导正常的用户去访问这个页面(比如这个恶意用户在 LC 的头条里分享了这个页面并取了一个很有诱惑的标题《教你如何实现一个千万并发的网站》,相信会有很多人访问),那么访问了这个页面的用户就会被强制退出 LC。
如果一个银行网站的转账功能有 CSRF 漏洞,那么恶意用户就可以通过 CSRF 漏洞来盗取其他用户的资金。
避免CSRF 攻击需要两个条件:
- 敏感操作不能用 Get 请求方式;
- 对于非 Get 的请求方式,需要校验请求中的 token 字段,这个字段值对每个用户每次登录都是不一样的。
