6

我正在尝试创建一个 AJAX 脚本,它将采用两个 GET 变量、类和方法,并将它们映射到我们设计的方法(类似于 CodeIgniter 对 ajax 的作用,我很确定)。由于我依靠用户输入来确定要执行的类和方法,我担心黑客可能有某种方法可以利用该技术来发挥自己的优势。

编码:

//Grab and clean (just in case, why not) the class and method variables from GET
$class = urlencode(trim($_GET['c']));
$method = urlencode(trim($_GET['m']));

//Ensure the passed function is callable
if(method_exists($class, $method)){
    $class::$method();
}

在使用这种技术时,我应该注意哪些缺点或安全注意事项?

4

5 回答 5

14

检查是否允许用户调用方法:

// methods that user can call:
$user_methods = array("method1", "method2", "method3", );

//Ensure the passed function is callable
if(method_exists($class, $method) and in_array($method, $user_methods){
    $class::$method();
}

否则,您将无法控制用户能够做什么。

于 2012-07-10T13:32:22.897 回答
6 
<?php
class AjaxCallableFunction
{
    public static $callable_from_ajax = TRUE;
}

$class = $_POST['class'];
$method = $_POST['method'];

if ( class_exists( $class ) && isset( $class::$callable_from_ajax ) && $class::$callable_from_ajax ) {
    call_user_func( $class, $method );
}

结合其他一些答案以获得最佳效果。需要 PHP 5.3.0 或更高版本。你甚至可以实现一个接口

<?php
interface AjaxCallable {}

class MyClass implements AjaxCallable 
{
    // Your code here
}

$class = $_POST['class'];
$method = $_POST['method'];

if ( class_exists( $class ) && in_array( 'AjaxCallable', class_implements( $class ) ) ) {
    call_user_func( $class, $method );
}

这种方法遵循 OOP 原则,非常冗长(易于维护),并且不需要您维护一个可以调用哪些类的数组,哪些不能。

于 2012-07-10T19:29:38.683 回答
4

考虑到您没有传递任何参数,目前这是相对安全的。但我会在你的 IF 中添加一个有效类的列表,例如:

//Ensure the passed function is callable
if(method_exists($class, $method)){
    if(in_array($class, array('controller1', 'controller2'))){
        $class::$method();
    }
}

这样,黑客就不能以这种方式真正调用框架中任何可能的类,而只能调用您允许他调用的类。

于 2012-07-10T13:30:24.317 回答
2

在这种情况下,您必须处理反射。

这是您需要的示例。

<?php
class Apple {
    public function firstMethod() { }
    final protected function secondMethod() { }
    private static function thirdMethod() { }
}

$class = new ReflectionClass('Apple');
$methods = $class->getMethods();
var_dump($methods);
?>

使用ReflectionMethods:invoke执行方法可能是这样的:

  <?php
class HelloWorld {

    public function sayHelloTo($name) {
        return 'Hello ' . $name;
    }

}

$reflectionMethod = new ReflectionMethod('HelloWorld', 'sayHelloTo');
echo $reflectionMethod->invoke(new HelloWorld(), 'Mike');
?>

所以最后我们可以:

 $class = urlencode(trim($_GET['c']));
  $method = urlencode(trim($_GET['m']));

  $allowed_methods = array("insert", "update", "delete");

  if(method_exists($class, $method) and in_array($method, $allowed_methods){
    $reflectionMethod = new ReflectionMethod($class, $method);
    $reflectionMethod->invoke(new $class, 'First Argument');
   }
于 2012-07-10T13:50:03.083 回答
1

urlencode() 让我有点担心。尽管它可能是安全的,但我会更严格地进行消毒。我只允许字母、数字和下划线。您真的不需要任何带有其他字符的类或方法名称。我想我从来没有见过。

我在所有项目中都将它用于很多东西:

function very_safe_string( $string )
{
    return preg_replace("/[^A-Za-z0-9_]/" , '' , $string);
}

正如其他海报所提到的,您绝对应该有某种类型的白名单明确允许(至少对于类,因为我确信并非每个类都需要从 ajax 访问)。以及检查 class_exists() 和 method_exists()。

如果这些检查中的任何一个失败,我还建议使用某种类型的电子邮件警报系统。我确定你想知道是否有人试图 hax0r j00。

于 2012-07-13T09:52:17.930 回答