之前出現(xiàn)過SQL注入漏洞問題（api/products），請問現(xiàn)在是不是修復(fù)了？

管理

編輯

刪除

c6c873d47ede 合作商 2024-07-01 12:17:34

其他

之前漏洞復(fù)現(xiàn)：

通過貼說的方法( http://therapist.net.cn/ask/thread/46298 )修復(fù)后:

出現(xiàn)上圖那樣的，是不是說明已經(jīng)修復(fù)了

------------------------------------------------------------------------------------------------------->

以下為解決方案

crmeb/app/common.php 文件中

最下面增加

if (!function_exists('filter_str')) {
    /**
     * 過濾字符串敏感字符
     * @param $str
     * @return array|mixed|string|string[]|null
     */
    function filter_str($str)
    {
        $rules = [
            '/\.\./', // 禁用包含 ../ 的參數(shù)
            '/\<\?/', // 禁止 php 腳本出現(xiàn)
            '/\bor\b.*=.*/i', // 匹配 'or 1=1'，防止 SQL 注入（注意邊界詞 \b 和不區(qū)分大小寫 i 修飾符）
            '/(select[\s\S]*?)(from|limit)/i', // 防止 SQL 注入
            '/(union[\s\S]*?select)/i', // 防止 SQL 注入
            '/(having|updatexml|extractvalue)/i', // 防止 SQL 注入
            '/sleep\((\s*)(\d*)(\s*)\)/i', // 防止 SQL 盲注
            '/benchmark\((.*)\,(.*)\)/i', // 防止 SQL 盲注
            '/base64_decode\(/i', // 防止 SQL 變種注入
            '/(?:from\W+information_schema\W)/i', // 注意這里的 (?:...) 是不合法的，應(yīng)該是 (?:...) 表示非捕獲組，但通常我們不需要這個
            '/(?:current_|user|database|schema|connection_id)\s*\(/i', // 防止 SQL 注入（注意去掉了不必要的 (?:...)）
            '/(?:etc\/\W*passwd)/i', // 防止窺探 Linux 用戶信息
            '/into(\s+)(?:dump|out)file\s*/i', // 禁用 MySQL 導(dǎo)出函數(shù)
            '/group\s+by.+\(/i', // 防止 SQL 注入
            '/(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(/i', // 禁用 webshell 相關(guān)某些函數(shù)
            '/(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/\//i', // 防止一些協(xié)議攻擊（注意協(xié)議后的三個斜杠）
            '/\$_(GET|POST|COOKIE|FILES|SESSION|ENV|GLOBALS|SERVER)\[/i', // 禁用一些內(nèi)置變量，注意 PHP 變量名通常是大寫的
            '/<(iframe|script|body|img|layer|div|meta|style|base|object|input)/i', // 防止 XSS 標(biāo)簽植入
            '/(onmouseover|onerror|onload|onclick)\=/i', // 防止 XSS 事件植入
            '/\|\|.*?(?:ls|pwd|whoami|ll|ifconfig|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)/i', // 防止執(zhí)行 shell（注意去掉了不合適的 ifconfog）
            '/\sand\s+.*=.*/i' // 匹配 and 1=1
        ];
        if (filter_var($str, FILTER_VALIDATE_URL)) {
            $url = parse_url($str);
            if (!isset($url['scheme'])) return $str;
            $host = $url['scheme'] . '://' . $url['host'];
            $str = $host . preg_replace($rules, '', str_replace($host, '', $str));
        } else {
            $str = preg_replace($rules, '', $str);
        }
        return $str;
    }
}

請登錄后查看

CRMEB-慕白寒窗雪最后編輯于2024-07-02 12:07:00

快捷回復(fù)