Français
Français
Lorsque vous utilisez l'extension MySQLI de PHP pour les opérations de base de données, les développeurs sont souvent exposés à une gamme de méthodes fournies par la classe MySQLI_STMT , qui sont conçues pour prétraiter des instructions dans le but d'améliorer les performances et d'améliorer la sécurité. La fonction MySQLI_STMT :: Attr_get introduite dans PHP 8.1 permet aux développeurs d'accéder à certaines propriétés sous-jacentes des instructions de prétraitement. Mais l'introduction de nouvelles fonctionnalités a inévitablement attiré l'attention sur leur sécurité. Cet article examinera s'il existe des risques de sécurité dans MySQLI_STMT :: ATTR_GET et résument les risques potentiels utilisés.
mysqli_stmt :: att_get est une fonction utilisée pour obtenir les propriétés de l'objet mysqli_stmt . Son prototype est le suivant:
public mysqli_stmt::attr_get(int $attribute): int|false
Il permet aux développeurs de lire certaines propriétés de l'instruction interne, telles que MySQLI_STMT_ATTR_UPDATE_MAX_LENGTH , etc. Dans certains scénarios, cela peut aider à optimiser la logique du programme, telles que la mémoire pré-allocatrice.
L'exemple de code est le suivant:
$mysqli = new mysqli("localhost", "user", "password", "database");
$stmt = $mysqli->prepare("SELECT * FROM users WHERE status = ?");
$stmt->bind_param("s", $status);
$stmt->attr_set(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH, true);
$stmt->execute();
$stmt->store_result();
$maxLenAttr = $stmt->attr_get(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH);
echo "Valeur d'attribut: " . ($maxLenAttr ? "Activer" : "未Activer");
Du point de vue de la fonction elle-même, Astr_get est une fonction en lecture seule qui ne peut modifier aucun état et n'effectuera directement aucune opération de base de données. Par conséquent, du point de vue traditionnel de l'injection SQL, il ne constitue pas directement de menace de sécurité.
Cependant, les risques indirects méritent toujours de noter:
Si le développeur expose le résultat de retour de ATTR_GET à l'utilisateur sans filtrage ou traitement approprié, les informations sur les détails de l'implémentation du système peuvent être divulguées par inadvertance. Par exemple:
$url = "https://m66.net/debug.php?stmt_attr=" . $stmt->attr_get(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH);
Dans ce scénario, un attaquant peut l'utiliser pour spéculer si certaines options sont activées dans l'opération de base de données actuelle, aidant ainsi à des attaques plus complexes (telles que les attaques de canaux latérales).
Certains développeurs peuvent abuser ATTR_GET comme base pour vérifier l'état d'exécution ou la vérification des paramètres, et ignorer la vérification de la valeur de retour une fois l'instruction réellement exécutée. Par exemple:
if ($stmt->attr_get(MYSQLI_STMT_ATTR_UPDATE_MAX_LENGTH)) {
// Mal conçu que la déclaration était sûre ou exécutée avec succès
}
Cette pratique peut masquer des échecs ou des exceptions d'exécution réelles, entraînant l'ignorance des vulnérabilités.
Étant donné que ATTR_GET prend en charge les attributs limités, les attributs pris en charge par différents moteurs ou versions de base de données peuvent également varier. Certaines propriétés peuvent être invalides dans certains environnements. Si le développeur ne gère pas la compatibilité, il entraînera des erreurs de logique du programme et provoquera des problèmes de sécurité ou de stabilité.
Afin d'utiliser MySQLI_STMT :: ATTR_GET plus en toute sécurité, les développeurs devraient prêter attention aux points suivants:
N'exposez pas la valeur de retour à l'utilisateur frontal. Si nécessaire pour le débogage, connectez-le via le système de journal au lieu de sortir directement via la page ou l'API.
N'utilisez pas ses résultats comme seule base sûre. La vérification de la sécurité doit être basée sur l'exécution de la valeur de retour et des mécanismes de gestion des exceptions, et non des lectures d'attribut.
Utilisé en conjonction avec la détection de version. Avant d'utiliser, déterminez si l'environnement actuel prend en charge les attributs pertinents pour éviter les erreurs d'exécution ou les écarts logiques.
Utilisé avec un mécanisme de gestion des erreurs. Combiné avec MySQLI_Report () ou le mécanisme de capture d'exception, assurez-vous que l'instruction peut être correctement perçue et répondu lorsqu'elle ne parvient pas à s'exécuter.
MySQLI_STMT :: ATTR_GET lui-même n'a pas de vulnérabilités de sécurité évidentes, mais ses scénarios d'utilisation sont relativement étroits et facilement mal utilisés. Les principaux risques résident dans la logique de dépendance des fuites et des erreurs d'informations, plutôt que des problèmes de sécurité traditionnels tels que l'injection SQL ou l'exécution à distance. Lorsque vous utilisez cette fonction, les développeurs doivent maintenir la lisibilité et la prudence du code et éviter l'impact décisif de ses résultats sur le flux final du programme. La compréhension correcte de ses utilisations et de ses limites est la clé pour assurer un développement sûr et stable.
