Php 插入方法中的DB::raw易受SQL注入攻击吗?
我在Laravel中有这样一个简化的代码:Php 插入方法中的DB::raw易受SQL注入攻击吗?,php,mysql,laravel,sql-injection,query-builder,Php,Mysql,Laravel,Sql Injection,Query Builder,我在Laravel中有这样一个简化的代码: $uid = $request->input('uid'); DB::table('users')->insert([ 'uid' => DB::raw("CONV('$uid', 16, 10)"), 'created_at' => date("Y-m-d H:i:s") ]); 我的代码容易受到SQL注入攻击吗?为什么?如果是这样,我如何防止它?是的,它很容易受到SQL注入的攻击,因为$uid的原始内容将
$uid = $request->input('uid');
DB::table('users')->insert([
'uid' => DB::raw("CONV('$uid', 16, 10)"),
'created_at' => date("Y-m-d H:i:s")
]);
我的代码容易受到SQL注入攻击吗?为什么?如果是这样,我如何防止它?是的,它很容易受到SQL注入的攻击,因为
$uidDB::raw()$uid = $request->input('uid');
DB::statement('INSERT INTO users (uid, created_at) VALUES (CONV(?, 16, 10), ?)', [
$uid,
date("Y-m-d H:i:s")
]);
是的,将请求输入直接复制到原始SQL查询就是SQL注入漏洞的一个示例 我建议这样做:
$uid = base_convert($request->input('uid'), 16, 10);
DB::table('users')->insert([
'uid' => $uid,
'created_at' => date("Y-m-d H:i:s")
]);
您正在使用
$uidDB::rawNext Illumb\Database\QueryException:SQLSTATE[22007]:无效的日期时间格式:1292截断了不正确的十进制值:':uid'(SQL:insert-into'users'('uid','created_at')值(CONV('uid',16,10),2020-04-08 20:39:33)),位于vendor/larvel/framework/src/illighted/Database/Connection中。php:669“CONV(:uid,16,10)”SQLSTATE[HY093]:无效参数编号:混合命名参数和位置参数(SQL:insert-into-users(uid,created_-at)值(CONV(:uid,16,10),2020-04-08 20:59:41))uidffffffffffffff18446744073709551615base\u convert()base\u convert()18446744073709552046ffffffffffff18446744073709551615