Safe: 12-代码审计

<?php

$large_number = 9223372036854775807;
var_dump($large_number); //int(9223372036854775807

$large_number = 9223372036854775808;
var_dump($large_number); //float(9.223372036854776E+18)
echo (int)$large_number; //-9223372036854775808 整数溢出

$a = 1;
echo 'This will not expand: \n a newline $a' . "\n";  // php 中 . 点用于字符串拼接
echo "This will not expand: \n a newline $a";   // "" 内变量也是一种拼接

select username from users where id = 1 and age = 12 order by name limit 1

order by 和 limit 后是不能加引号的。

#like后用concat来注入
like concat('%',?'%')

#limit 有注入怎么办？ 强制整数转换

#order by 有注入怎么办？ 做映射 1 对就 name；做列名白名单

#动态表名能预编译吗？ 不能，因为他不用单引号。 但支持反引号 select * from `?`。防注入：1.表名加反引号，2.过滤反引号

#如果做了预编译，但预编译前面做了拼接还是会有注入。如下伪代码
$a = 'id';
$id = 1;
$sql = "select * from users where " . "$a = $id";
if ($input.concans('id')){ // 输入里包含id就做sql拼接
  $sql = $sql . "id = $id"
}
$sql = prepare("select * from users where id = ? and age = x");
$sql.set($id)

$sql = $sql . "name = ?";

query($sql);

$array = [
    1 => $SESSION['id'],
];

$input = $_GET['name'];
$array = $array . $input;
if ($array[1] == 1) {
    echo 'admin';
};

include $_POST['filename']

$_SERVER 包含 服务器信息 环境变量 用户传入的http头和uri路径等信息

$_GET
$HTTP_GET_VARS 包含 用户传入的URL参数

$_POST
$HTTP_POST_VARS 包含 用户传入的POST BODY的参数 (当 HTTP头中 Content-Type 值 为application/x-www- form-urlencoded 或 multipart/form-data时才会被传入)

$_FILES
$HTTP_POST_FILES 包含 用户上传文件信息 文件内容 原文件名 临时文件名 大小 等信息

$_COOKIE
$HTTP_COOKIE_VARS 包含 用户传入的HTTP头中的Cookies kv值

$_REQUEST 同时包含 $GET $POST $_COOKIE

php://input
$HTTP_RAW_POST_DATA 包含 用户POST请求中BODY 的完整数据 常见用法file_get_contents('php://input');

apache_request_headers()
getallheaders() 包含 用户传入的http头 (Apache ONLY)

$_SERVER['HTTP_ACCEPT_LANGUAGE']//浏览器语言
$_SERVER['REMOTE_ADDR'] //当前用户 IP 。
$_SERVER['REMOTE_HOST'] //当前用户主机名
$_SERVER['REQUEST_URI'] //URL
$_SERVER['REMOTE_PORT'] //端口。
$_SERVER['SERVER_NAME'] //服务器主机的名称。
$_SERVER['PHP_SELF']//正在执行脚本的文件名
$_SERVER['argv'] //传递给该脚本的参数。
$_SERVER['argc'] //传递给程序的命令行参数的个数。
$_SERVER['GATEWAY_INTERFACE']//CGI 规范的版本。
$_SERVER['SERVER_SOFTWARE'] //服务器标识的字串
$_SERVER['SERVER_PROTOCOL'] //请求页面时通信协议的名称和版本
$_SERVER['REQUEST_METHOD']//访问页面时的请求方法
$_SERVER['QUERY_STRING'] //查询(query)的字符串。
$_SERVER['DOCUMENT_ROOT'] //当前运行脚本所在的文档根目录
$_SERVER['HTTP_ACCEPT'] //当前请求的 Accept: 头部的内容。
$_SERVER['HTTP_ACCEPT_CHARSET'] //当前请求的 Accept-Charset: 头部的内容。
$_SERVER['HTTP_ACCEPT_ENCODING'] //当前请求的 Accept-Encoding: 头部的内容
$_SERVER['HTTP_CONNECTION'] //当前请求的 Connection: 头部的内容。例如：“Keep-Alive”。
$_SERVER['HTTP_HOST'] //当前请求的 Host: 头部的内容。
$_SERVER['HTTP_REFERER'] //链接到当前页面的前一页面的 URL 地址。
$_SERVER['HTTP_USER_AGENT'] //当前请求的 User_Agent: 头部的内容。
$_SERVER['HTTPS']//如果通过https访问,则被设为一个非空的值(on)，否则返回off
$_SERVER['SCRIPT_FILENAME'] #当前执行脚本的绝对路径名。
$_SERVER['SERVER_ADMIN'] #管理员信息
$_SERVER['SERVER_PORT'] #服务器所使用的端口
$_SERVER['SERVER_SIGNATURE'] #包含服务器版本和虚拟主机名的字符串。
$_SERVER['PATH_TRANSLATED'] #当前脚本所在文件系统（不是文档根目录）的基本路径。
$_SERVER['SCRIPT_NAME'] #包含当前脚本的路径。这在页面需要指向自己时非常有用。
$_SERVER['PHP_AUTH_USER'] #当 PHP 运行在 Apache 模块方式下，并且正在使用 HTTP 认证功能，这个变量便是用户输入的用户名。
$_SERVER['PHP_AUTH_PW'] #当 PHP 运行在 Apache 模块方式下，并且正在使用 HTTP 认证功能，这个变量便是用户输入的密码。
$_SERVER['AUTH_TYPE'] #当 PHP 运行在 Apache 模块方式下，并且正在使用 HTTP 认证功能，这个变量便是认证的类型

// 获取当前请求的name变量
Request::instance()->param('name');
// 获取当前请求的所有变量（经过过滤）
Request::instance()->param();
// 获取当前请求的所有变量（原始数据）
Request::instance()->param(false);
// 获取当前请求的所有变量（包含上传文件）
Request::instance()->param(true);

input('param.name');
input('param.');
或者
input('name');
input('');

Request::instance()->get('id'); // 获取某个get变量
Request::instance()->get('name'); // 获取get变量
Request::instance()->get(); // 获取所有的get变量（经过过滤的数组）
Request::instance()->get(false); // 获取所有的get变量（原始数组）

input('get.id');
input('get.name');
input('get.');

Request::instance()->post('name'); // 获取某个post变量
Request::instance()->post(); // 获取经过过滤的全部post变量
Request::instance()->post(false); // 获取全部的post原始变量

input('post.name');
input('post.');

Request::instance()->put('name'); // 获取某个put变量
Request::instance()->put(); // 获取全部的put变量（经过过滤）
Request::instance()->put(false); // 获取全部的put原始变量

input('put.name');
input('put.');

Request::instance()->request('id'); // 获取某个request变量
Request::instance()->request(); // 获取全部的request变量（经过过滤）
Request::instance()->request(false); // 获取全部的request原始变量数据

input('request.id');
input('request.');

Request::instance()->server('PHP_SELF'); // 获取某个server变量
Request::instance()->server(); // 获取全部的server变量

input('server.PHP_SELF');
input('server.');

Request::instance()->session('user_id'); // 获取某个session变量
Request::instance()->session(); // 获取全部的session变量

input('session.user_id');
input('session.');

Request::instance()->cookie('user_id'); // 获取某个cookie变量
Request::instance()->cookie(); // 获取全部的cookie变量

input('cookie.user_id');
input('cookie.');

Db::query("select * from think_user where status=1");

Db::execute("update think_user set name='thinkphp' where status=1");

<?php
exec('ping 127.0.0.1',$output,$return_var);
system('ping -c 127.0.0.1',$return_var);
passthru('ping 12.0.0.1',$return_var);
passthru('id');
shell_exec("ping 127.0.0.1");
shell_exec(`ping 127.0.0.1`);
popen("id", "r");
pcntl_exec('id');

$to = '[email protected]';
$subject = 'Hello Alice!';
$message=‘<?php phhpinfo(); ?>’；
$headers = "CC: [email protected]";
$options = '-OQueueDirectory=/tmp -X/var/www/html/rce.php';
mail($to, $subject, $message, $headers, $options);

17220 <<< To: [email protected]
17220 <<< Subject: Hello Alice!
17220 <<< X-PHP-Originating-Script: 0:test.php
17220 <<< CC: [email protected]
17220 <<<
17220 <<< <?php phpinfo(); ?>
17220 <<< [EOF]

函数/语法结构 描述 例子
eval 将传入的参数内容作为PHP代码执行 eval 不是函数 是一种语法结构不能当做函数动态调用
eval('phpinfo();');

assert 将传入的参数内容作为PHP代码执行 版本在PHP7以下是函数PHP7及以上为语法结构
assert('phpinfo();');

preg_replace 当preg_replace使用/e修饰符且原字符串可控时时 有可能执行php代码
echo preg_replace("/e","{${PHPINFO()}}","123");

call_user_func 把第一个参数作为回调函数调用 需要两个参数都完全可控才可利用 只能传入一个参数调用
call_user_func('assert','phpinfo();');

call_user_func_array 同call_user_func 可传入一个数组带入多个参数调用函数
call_user_func_array('file_put_contents',['1.txt','6666']);

create_function 根据传递的参数创建匿名函 数，并为其返回唯一名称 利用需要第二个参数可控 且创建的函数被执行
$f = create_function('','system($_GET[123]);');
$f();

include 包含并运行指定文件 执行出错会抛出错误
include 'vars.php'; (括号可有可无)

require 同include 执行出错会抛出警告
require('somefile.php'); (括号可有可无)

require_once 同require 但会检查之前是否已经包含该文件 确保不重复包含

include_once 同include 但会检查之前是否已经包含该文件 确保不重复包含

<?php
eval('phpinfo();');
assert('phpinfo();');
echo preg_replace("/e","{${PHPINFO()}}","123");
call_user_func('assert', 'phpinfo();');
call_user_func_array('file_put_contents', ['1.txt','6666']);
$f = create_function('','system($_ GET[123]);'); $f();
include 'vars.php';
require('somefile.php');

1. escapeshellarg 传入参数添加单引号并转义原有单引号 用于防止命令注入。
例：传入 ' id # 处理后 '\' id #' 处理后的字符串可安全的添加到命令执行参数escapeshellcmd 转义字符串中的特殊符号 用于防止命令注入
反斜线（\）会在以下字符之前插入： &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义

2. addslashes 在单引号（'）、双引号（"）、反斜线（\）与 NUL前加上反斜线 可用于防止SQL注入

PDO::quote 转义特殊字符 并添加引号
PDO::prepare 预处理SQL语句 有效防止SQL注入 (推荐)
htmlspecialchars 和 htmlentities 将特殊字符转义成html实体 可用于防止XSS
intval($input) floatval() floatval() floor() (int)$input num+***\*0\**** 将输入强制转换为整数/浮点 常见于防止SQL注入

符号 描述 示例
<、> 输入输出重定向 echo abc >1.txt

;分号 按照从左到右顺序执行命令 id;whoami;ls

| 管道符 将左侧命令的输出作为右侧命令的输入 ps -aux|grep root

&& 按照从左到右顺序执行命令 只有执行成功才执行后面的语句

|| 按照从左到右顺序执行命令 只有执行失败才执行后面的语句

<?php eval(@$_GET['xxx']);

函数/语法结构 描述 例子
eval 将传入的参数内容作为PHP代码执行 eval 不是函数，是一种语法结构，不能当做函数动态调用
eval('phpinfo();');

assert 将传入的参数内容作为PHP代码执行 版本在PHP7以下是函数，PHP7及以上为语法结构
assert('phpinfo();');

preg_replace 当preg_replace使用/e修饰符且原字符串可控时时 有可能执行php代码
echo preg_replace("/e","{${PHPINFO()}}","123");

call_user_func 把第一个参数作为回调函数调用 需要两个参数都完全可控才可利用，只能传入一个参数调用
call_user_func('assert','phpinfo();');

call_user_func_array 同call_user_func 可传入一个数组带入多个参数调用函数
call_user_func_array('file_put_contents',['1.txt','6666']);

create_function 根据传递的参数创建匿名函 数，并为其返回唯一名称 利用需要第二个参数可控 且创建的函数被执行
$f = create_function('','system($_GET[123]);'); $f();

<?php
include('conn.php');//数据库连接省略
$sql = "SELECT id, name FROM users WHERE id=$_GET['id']";
$result = $mysqli->query($sql);
if ($result->num_rows > 0) {
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["name"]; 9 }
} else {
    echo "没有查询到结果"; 12 }
?>

1 SELECT id, name FROM users WHERE id=123;

?id=123 UNION SELECT name,password FROM users; 执行SQL

SELECT id, name FROM users WHERE id=123 UNION SELECT name,password FROM users;

<?php
$type = 'mysql';
$hostname = '127.0.0.1';
$dbname = 'xxx';
$username = 'root';
$password = 'root';
try {
    $dsn = sprintf('%s:dbname=%s;host=%s;charset=utf8', $type, $dbname, $hostname);
    //初始化一个PDO对象
    $pdo = new PDO($dsn, $username, $password, [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION //开启异常模式
     ]);
} catch (PDOException $e) {
    die ("Database error: " . $e->getMessage());
}
$input_data=1; // 假设input_dta 为用户输入数据
$smt = $pdo->query('SELECT * FROM t_user WHERE id='.$input_dta);
$data = $smt->fetchAll(PDO::FETCH_ASSOC);
var_dump($data);
?>

<?php
// insert
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// 插入一行
$name = 'one';
$value = 1;
$stmt->execute();

// select
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
if ($stmt->execute(array($_GET['name']))) {
  while ($row = $stmt->fetch()) {
    print_r($row);
  }
}
?>

<?php
/* 通过数组值向预处理语句传递值 */
$sql = 'SELECT name, colour, calories
    FROM fruit
    WHERE calories < :calories AND colour = :colour';
$sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(':calories' => 150, ':colour' => 'red'));
$red = $sth->fetchAll();
$sth->execute(array(':calories' => 175, ':colour' => 'yellow'));
$yellow = $sth->fetchAll();
?>

<?php
/* 通过数组值向预处理语句传递值 */
$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < ? AND colour = ?');
$sth->execute(array(150, 'red'));
$red = $sth->fetchAll();
$sth->execute(array(175, 'yellow'));
$yellow = $sth->fetchAll();
?>

orders=array("name","age","xxx");
$key=array_search($_GET['data'],$orders); // 查询是否存在在数组中
$order=$orders[$key];
$query="SELECT * from table WHERE is_live = :is_live ORDER BY $order";

<?php
// 假定数据库用户名：root，密码：123456，数据库：RUNOOB
$con=mysqli_connect("localhost","root","123456","RUNOOB");
if (mysqli_connect_errno($con))
{
    echo "连接 MySQL 失败: " . mysqli_connect_error();
}
// 执行查询
mysqli_query($con,"SELECT * FROM websites");
mysqli_query($con,"INSERT INTO websites (name, url, alexa, country)
VALUES ('百度','https://www.baidu.com/','4','CN')");

mysqli_close($con);
?>

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("localhost", "my_user", "my_password", "world");

$city = "Amersfoort";

/* create a prepared statement */
$stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?");

/* bind parameters for markers */
$stmt->bind_param("s", $city);

/* execute query */
$stmt->execute();

/* bind result variables */
$stmt->bind_result($district);

/* fetch value */
$stmt->fetch();

printf("%s is in district %s\n", $city, $district);

<?php
$con = mysql_connect("localhost","peter","abc123");
if (!$con)
{
  die('Could not connect: ' . mysql_error());
}

mysql_select_db("my_db", $con);
$result = mysql_query("SELECT * FROM Persons");
while($row = mysql_fetch_array($result))
{
  echo $row['FirstName'] . " " . $row['LastName'];
  echo "<br />";
}

mysql_close($con);
?>

addslashes 在单引号（'）、双引号（"）、反斜线（\）与 NULL 前加上反斜线 可用于防止SQL注入

<?php
echo 'Hello '.$_GET['name'].'!';

攻击者输入:
?name=<script type="text/javascript">alert('XSS!');</script>

服务器返回
Hello <script type="text/javascript">alert('XSS!');</script>!

浏览器渲染 Hello ! script被作为html标签解析，执行其中的代码，弹出警告框XSS!

函数名 功能描述
echo() 输出字符串
print() 输出一个或多个字符串
print_r() 打印关于变量的易于理解的信息
printf() 输出格式化字符串
sprintf() 把格式化的字符串写入一个变量中
var_dump() 输出变量的内容、类型或字符串的内容、类型、长度
die() 输出一条消息，并退出当前脚本

<?php
header("Content-Security-Policy: default-src 'self'");
?>

1.启动会话并生成一个随机令牌。
session_start();
$_SESSION["token"] = bin2hex(random_bytes(32));

2.将 CSRF 令牌嵌入到 HTML 表单中。
<input type="hidden" name="token" value="<?=$_SESSION["token"]?>"/>

3.提交表单后，将提交的令牌与会话进行交叉检查。
if (!isset($_POST["token"]) || !isset($_SESSION["token"])) {
  exit();
}
if ($_POST["token"] == $_SESSION["token"]) {
  DO PROCESSING
}

bool libxml_disable_entity_loader ([ bool $disable = true ] )

<?php
class xxx2
{
  var $id = '1';
  function __wakeup()
  {
    eval($this->id);
  }
}

// 序列化
$xxx1 = new xxx2();
print_r(serialize($xxx1)); // serialize 序列化函数，把对象转化为字符串。字符串内容 O:4:"xxx2":1:{s:2:"id";s:1:"1";}
// O表示这是个对象，4表示类名有4个字符，xxx2表示类名，1表示有1个成员变量，成员变量名为id有2个字符，s表示string类型，成员的值为1。

// 反序列化
// id 对应的值改为 phpinfo(); 反序列化会调用__wakeup函数，函数内容是利用eval解析执行id对应的值
$s = 'O:4:"xxx2":1:{s:2:"id";s:10:"phpinfo();";}';
$s_unserialize = unserialize($s);
print_r($s_unserialize);
echo "</br>";

use App\Http\Controllers\UserController;

Route::get('/user', [UserController::class, 'index']);

Route::get($uri, $callback);
Route::post($uri, $callback);
Route::put($uri, $callback);
Route::patch($uri, $callback);
Route::delete($uri, $callback);
Route::options($uri, $callback);

Route::match(['get', 'post'], '/', function () {
//
});

Route::any('/', function () {
//
});

use Illuminate\Http\Request;

Route::get('/users', function (Request $request) {
// ...
});

<form method="POST" action="/profile">
  @csrf
   ...
</form>

Route::redirect('/here', '/there');

Route::redirect('/here', '/there', 301);

Route::permanentRedirect('/here', '/there');

Route::view('/welcome', 'welcome');

Route::view('/welcome', 'welcome', ['name' => 'Taylor']);

Route::get('/user/{id}', function ($id) {
return 'User '.$id;
});

Route::get('/posts/{post}/comments/{comment}', function ($postId, $commentId) {
//
});

Route::get('/user/{name?}', function ($name = null) {
  return $name;
});

Route::get('/user/{name?}', function ($name = 'John') {
  return $name;
});

Route::get('/user/{name}', function ($name) {
//
})->where('name', '[A-Za-z]+');

Route::get('/user/{id}', function ($id) {
//
})->where('id', '[0-9]+');

Route::get('/user/{id}/{name}', function ($id, $name) {
//
})->where(['id' => '[0-9]+', 'name' => '[a-z]+']);

Route::get('/user/{id}/{name}', function ($id, $name) {
//
})->whereNumber('id')->whereAlpha('name');

Route::get('/user/{name}', function ($name) {
//
})->whereAlphaNumeric('name');

Route::get('/user/{id}', function ($id) {
//
})->whereUuid('id');

// 正在生成 URL...
$url = route('profile');

// 正在生成重定向...
return redirect()->route('profile');

Route::get('/user/{id}/profile', function ($id) {
//
})->name('profile');
$url = route('profile', ['id' => 1]);

Route::get('/user/{id}/profile', function ($id) {
//
})->name('profile');

$url = route('profile', ['id' => 1, 'photos' => 'yes']);

// /user/1/profile?photos=yes

Route::middleware(['first', 'second'])->group(function () {
    Route::get('/', function () {
    // 使用第一个和第二个中间件...
     });
    Route::get('/user/profile', function () {
    // 使用第一个和第二个中间件...
     });
});

use App\Http\Controllers\OrderController;

Route::controller(OrderController::class)->group(function () {
  Route::get('/orders/{id}', 'show');
  Route::post('/orders', 'store');
});

Route::domain('{account}.example.com')->group(function () {
    Route::get('user/{id}', function ($account, $id) {
      //
    });
});

Route::prefix('admin')->group(function () {
  Route::get('/users', function () {
  // Matches The "/admin/users" URL
   });
});

use App\Models\User;

Route::get('/users/{user}', function (User $user) {
return $user->email;
});

use App\Http\Controllers\UserController;
use App\Models\User;

// Route definition...
Route::get('/users/{user}', [UserController::class, 'show']);

// Controller method definition...
public function show(User $user) {
  return view('user.profile', ['user' => $user]);
}

use App\Models\User;

Route::get('/users/{user}', function (User $user) {
//
});

<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
class UserController extends Controller
{
   /**
   * 存储一个新用户. *
   * @param \Illuminate\Http\Request $request
   * @return \Illuminate\Http\Response
   */
   public function store(Request $request)
   {
       $name = $request->input('name');
       //
   }
}

$value = $request->header('X-Header-Name');

$value = $request->header('X-Header-Name', 'default');

$name = $request->input('name');

$name = $request->input('name', 'Sally');

$users = DB::table('users')
    ->select(DB::raw('count(*) as user_count, status'))
    ->where('status', '<>', 1)
    ->groupBy('status')
    ->get();

$orders = DB::table('orders')
    ->selectRaw('price * ? as price_with_tax', [1.0825])
    ->get();