<menuitem id="sxucr"></menuitem>

    <code id="sxucr"></code><tr id="sxucr"></tr>
    <menuitem id="sxucr"></menuitem>

  1. <ins id="sxucr"><option id="sxucr"></option></ins>

  2. PHP8 MongoDB請求注入攻擊

    2024-04-08 10:15 更新

    如果您通過(或 ) 參數,請確保它們首先被強制轉換為字符串。 用戶可以在 GET 和 POST 請求中插入關聯數組,這可以 然后成為不需要的 $ 查詢。$_GET$_POST

    一個相當無害的例子:假設您正在查找用戶的信息 請求 http://www.example.com?username=bob。 您的應用程序將創建查詢。$q = new \MongoDB\Driver\Query( [ 'username' => $_GET['username'] ])

    有人可以通過獲取 http://www.example.com?username[$ne]=foo(其中 PHP)來顛覆這一點 會神奇地變成一個關聯數組,把你的查詢變成 , 這將返回所有未命名為“foo”的用戶(可能是您的所有用戶)。$q = new \MongoDB\Driver\Query( [ 'username' => [ '$ne' => 'foo' ] ] )

    這是一個相當容易防御的攻擊:確保 _GET 美元和 _POST 美元 參數是將參數發送到數據庫之前所需的類型。 PHP 有 filter_var() 函數來協助解決這個問題。

    請注意,這種類型的攻擊可以與任何數據庫交互一起使用 查找文檔,包括更新、更新插入、刪除和 findAndModify 命令。

    有關MongoDB的類似SQL注入的問題的更多信息,請參閱主要文檔。


    以上內容是否對您有幫助:
    在線筆記
    App下載
    App下載

    掃描二維碼

    下載編程獅App

    公眾號
    微信公眾號

    編程獅公眾號

    人妻迎合粗大被捣出白浆_欧美曰韩日B大片在线看_成年免费国产大片_欧美乱大交XXXXX潮喷
      <menuitem id="sxucr"></menuitem>

      <code id="sxucr"></code><tr id="sxucr"></tr>
      <menuitem id="sxucr"></menuitem>

    1. <ins id="sxucr"><option id="sxucr"></option></ins>