SQL注入式
SQL注入式是一种最常见并且最容易实现的一个web应用的攻击这个攻击已经在最近的几年内上升为第一个web开发的安全问题。这种攻击发生于当你(开发者)获取用户的输入值并直接把它作为纯Sql语句对数据库进行查询而造成的。这种攻击可以篡改删除数据甚至可以公开一个商业的用户资料。
举一个简单例子,假设你有这样的一个SQL语句:
"Select * from User where username=".$username;
其中$username是你从用户端获取的值。如果用户是个有经验的开发者他很容易就可以猜到你的sql语句大概是什么样。那么他可以提供这样的值比如: ” ‘john’ or 1=1″, 如果你直接把这个值放入到sql语句中那么语句就变成了:
"Select * from User where username='john' or 1=1";
可以看到你如果懂的一些Sql这个语句将会在你数据库表格获取所有的用户数据 那么这些数据就有被公开的危险性 这是个简单的例子但是很好了说明了这个攻击是怎么发生的。
那么什么防范措施可以起到保护数据作用呢?这里给几个建议:1. 检查过滤任何从用户端接收到的数据不用相信任何用户的数据。2. 避免直接在控制层写 Sql语句如果你一定要请实行第一步操作。3. 尽量把sql语句写在模型层并尽量使用内嵌的API如 find(),findAll()等待。4. 使用Criteria 来创建数据查询代码这种方式创建的sql语句将会自动消除注入式sql语句起到防范作用。
Magic URL
另一个攻击你需要注意的是Magic URL.这个攻击发生于在开发者把Url的参数作为调用其他函数的参数并直接执行它。
特别注意的是Yii框架的架构已经具有被攻击的潜在可能。如果没有合适的用户验证措施和其他对策攻击者可能能够删除你在数据库中的所有数据。
让我们看看一个具体的例假设你有一个ImageController其中包含常用的方法
Class ImageController extends Controller{
public function accessRules(){
...
array('allow', 'actions'=>array('delete'),'users'=>array('*'),
Accept: */*
Czealssoxs: xeqcdreawnbyxtsqouzhfigymszqwijdottaozoqkyuixeipyxpdqrc
anfdleoalpyszpgfjxmxuaefnzrizywzqntcooweaduqumbbxekofek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...
}
public function actionCreate(){
....
}
...
public function actionDelete($id){
$this->loadModel($id)->delete();
}
}
你可以从上面的代码看到这种控制类允许身份验证的用户来执行删除操作。因此一个情景可以是用户点击一个图片下的“删除”按钮然后将图像记录从数据库 |