来自远程文件的SQL注入

时间:2012-01-16 19:50:11

标签: php mysql security code-injection mysql-real-escape-string

我有一个文件“submit.php”,它将从“choose-product.php”中的前一个表单提交的一系列值写入MySQL数据库。我在前面的问题中建议使用mysql_real_escape_string,但我注意到如果我将“choose-product.php”文件上传到单独的服务器并将表单的开头更改为

<form name="form" id="form" action="http://www.myserver.com/submit.php" method="post">

这将将一系列值写入数据库。显然这非常糟糕!现在,我知道有一种方法可以解决这个问题,但由于这是我第一次编写这样的代码,我有点难过。

以下是submit.php的完整代码:

<?php
include("db.php");

function random_string() {
    $character_set_array = array();
    $character_set_array[] = array('count' => 7, 'characters' => 'abcdefghijklmnopqrstuvwxyz');
    $character_set_array[] = array('count' => 1, 'characters' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZ');
    $character_set_array[] = array('count' => 3, 'characters' => '0123456789');
    $character_set_array[] = array('count' => 1, 'characters' => '!@#$*&:');
    $temp_array = array();
    foreach ($character_set_array as $character_set) {
        for ($i = 0; $i < $character_set['count']; $i++) {
            $temp_array[] = $character_set['characters'][rand(0, strlen($character_set['characters']) - 1)];
        }
    }
    shuffle($temp_array);
    return implode('', $temp_array);
}

$key = random_string();


if($_SERVER["REQUEST_METHOD"] == "POST") {
    $productid = mysql_real_escape_string($_POST['productid']);
    mysql_query("INSERT INTO sales VALUES('','$productid','$key',CURRENT_TIMESTAMP,'','active')");
    echo "
    <form action='XYZ' id='BB_BuyButtonForm' method='post' name='BB_BuyButtonForm' target='_top'>
        <input name='item_name_1' type='hidden' value='Test item 1'/>
        <input name='item_description_1' type='hidden' value='Testing item sales'/>
        <input name='item_quantity_1' type='hidden' value='1'/>
        <input name='item_price_1' type='hidden' value='0.5'/>
        <input name='item_currency_1' type='hidden' value='GBP'/>
        <input name='shopping-cart.items.item-1.digital-content.url' type='hidden' value='http://www.XYZ.com/download.php?key=$key'/>
        <input name='_charset_' type='hidden' value='utf-8'/>
        <input alt='' src='XYZ' type='image'/>
    </form>
    ";
}
?>

2 个答案:

答案 0 :(得分:5)

欢迎使用HTTP协议。

任何人都可以随时调用{p> http://www.myserver.com/submit.php。调用的表单可以在任何其他网页上。或者用户可能根本不会从表单中调用它,但可以使用命令行工具来提交数据。这个工具可能声称是一个网络浏览器,你不会知道。

我猜你的问:

您是否依赖choose-product.php为submit.php提供某种安全性?

你不能。

你必须在submit.php上进行所有安全检查,即使你刚刚在5秒前为choose-product.php做过这些检查。

答案 1 :(得分:0)

这不是注射问题。您的php脚本必须具有数据库的位置,用户名和密码。除非您的数据库是专门配置为不允许的,否则拥有该信息的任何人(例如您的脚本)都可以使用它来进行更改。

限制对本地主机的访问是常见且容易的。我正在谷歌上搜索如何做到这一点。

相关问题
最新问题