PHP8 MongoDB脚本注入攻击
如果您使用的是 JavaScript,请确保任何跨越 PHP 的变量 - to-JavaScript 边界在 MongoDB\BSON\Javascript 字段中传递,而不是插值到 JavaScript 字符串。在查询、mapReduce 和 group 命令中使用子句时,以及您可能在任何其他时候都会出现这种情况 将 JavaScript 传递到数据库中。scope$where
例如,假设我们有一些 JavaScript 来问候数据库中的用户 原木。我们可以做到:
<?php
$m = new MongoDB\Driver\Manager;
// Don't do this!!!
$username = $_GET['field'];
$cmd = new \MongoDB\Driver\Command( [
'eval' => "print('Hello, $username!');"
] );
$r = $m->executeCommand( 'dramio', $cmd );
?>
但是,如果恶意用户传入一些 JavaScript 怎么办?
<?php
$m = new MongoDB\Driver\Manager;
// Don't do this!!!
$username = $_GET['field'];
// $username is set to "'); db.users.drop(); print('"
$cmd = new \MongoDB\Driver\Command( [
'eval' => "print('Hello, $username!');"
] );
$r = $m->executeCommand( 'dramio', $cmd );
?>
现在 MongoDB 执行 JavaScript 字符串。 这种攻击很容易避免:用来传球 从 PHP 到 JavaScript 的变量:"print('Hello, '); db.users.drop(); print('!');"
args
<?php
$m = new MongoDB\Driver\Manager;
$_GET['field'] = 'derick';
$args = [ $_GET['field'] ];
$cmd = new \MongoDB\Driver\Command( [
'eval' => "function greet(username) { print('Hello, ' + username + '!'); }",
'args' => $args,
] );
$r = $m->executeCommand( 'dramio', $cmd );
?>
这会向 JavaScript 作用域添加一个参数,该参数将用作参数 对于函数。现在如果 有人试图发送恶意代码,MongoDB会无害地打印。greetHello, '); db.dropDatabase(); print('!
使用参数有助于防止恶意输入被 数据库。但是,您必须确保代码不会转过来 并执行输入!最好首先避免在服务器上执行任何 JavaScript。
强烈建议您远离 » $where 子句,因为它会显著影响性能。哪里 可能,使用普通查询运算符或 » 聚合 框架。
作为 » MapReduce 的替代品,它使用 JavaScript,请考虑使用 » 聚合 框架。与 Map/Reduce 不同,它使用惯用语言来 构造查询,而无需编写和使用速度较慢的 JavaScript Map/Reduce所需的方法。
自 MongoDB 3.0 以来,不推荐使用 » eval 命令,也应避免使用。
更多建议: