cakephp 이스케이프 함수 또는 mysql_real_escape_string이 안전하지 않습니까?

Question

오늘 우리 서버에 이상한 문제가 나타났습니다. 우리는 GET 요청을 성공적으로 통과 한 mysql 쿼리에서 % 및 _ 기호로 DDOS를 얻었습니다. 예 :

domain.com/search/%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25v%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25%25a 

cakephp는 필터하지 않는 것으로 보입니까? official mysql guide에 그들은이 문제에 관해 많이 씁니다. 그것은 그들이이 문제를 해결하는 증명 방법은 다음과 같습니다

addcslashes(mysql_real_escape_string(“%something_”), “%_”); 

CakePHP는 프레임 워크 모델에서 모든 곳에서 사용되는 기능 escape()있다. 무엇 MySQL의 특수 문자를 이스케이프에 대해이 같은

/** 
* Returns a quoted and escaped string of $data for use in an SQL statement. 
* 
* @param string $data String to be prepared for use in an SQL statement 
* @param string $column The column into which this data will be inserted 
* @param boolean $safe Whether or not numeric data should be handled automagically if no column data is provided 
* @return string Quoted and escaped data 
*/ 
    function value($data, $column = null, $safe = false) { 
     $parent = parent::value($data, $column, $safe); 

     if ($parent != null) { 
      return $parent; 
     } 
     if ($data === null || (is_array($data) && empty($data))) { 
      return 'NULL'; 
     } 
     if ($data === '' && $column !== 'integer' && $column !== 'float' && $column !== 'boolean') { 
      return "''"; 
     } 
     if (empty($column)) { 
      $column = $this->introspectType($data); 
     } 

     switch ($column) { 
      case 'boolean': 
       return $this->boolean((bool)$data); 
      break; 
      case 'integer' : 
      case 'float' : 
      case null : 
       if ($data === '') { 
        return 'NULL'; 
       } 
       if (is_float($data)) {                            
        return str_replace(',', '.', strval($data)); 
       } 
       if ((is_int($data) || is_float($data) || $data === '0') || (
        is_numeric($data) && strpos($data, ',') === false && 
        $data[0] != '0' && strpos($data, 'e') === false)) { 
         return $data; 
        } 
      default: 
       $data = "'" . mysqli_real_escape_string($this->connection, $data) . "'"; 
      break; 
     } 

     return $data; 
    } 

단지 기본적인 보호 전년도 몇 가지 변수 유형과 물건 ...을 ?? : 그것은 포함 된 내용을 보면 약 1 년 전 나는 mysql query =에서 백분율 기호의 도움으로 인용 부호를 벗어날 수있는 방법을 읽었습니다. 그 당시에는 블라인드 주사의 과장이었습니다. 그리고 그 트릭은 모두가 mysqli_real_escape_string을 사용하기 때문에 거의 모든 곳에서 효과가있었습니다.

여기에 질문을 올려야합니다 : cakephp에서 변수를 벗어나는 방법 - 정말요?

업데이트 : IRC의 일부 사람들은 요청 문자열을 이스케이프 처리하고 자체 쿼리하지 말아야한다고 말합니다. 그들은 아마 맞아, 그럼 어떻게 % 및 _ 사용자 정의 함수를 사용하지 않고 GET 요청 문자열에있는 문자를 탈출 할 수 있습니다 .. 어떤 sanitize 메서드는 그것을합니까?

Answer 1

이것은 Cake가 SQL 주입에 취약하다는 것을 의미하지는 않습니다. 이것은 CakePHP에서 LIKE 검색 쿼리를 사용한다는 것과 와일드 카드 문자를 사용하고 있다는 것을 의미합니다.

이상적인 행동이라고 생각하지 않습니다. 개발 중에도 이것을 발견 했으므로 지금은 LIKE을 사용하고 있습니다.

$term = str_replace('%', ' ', $term); 

자신의 손으로 도주 할 필요없이 프레임 워크가 처리합니다.

Answer 2

표시하려는 코드 예제는 안전합니다. 이 줄은

$data = "'" . mysqli_real_escape_string($this->connection, $data) . "'"; 

의 특수 문자를 이스케이프합니다. 메서드는 변수의 유형을 확인합니다. 문자열이 아닌 경우에는 이스케이프 할 필요가 없습니다.

mysql_real_escape_string()의 "취약점"에 대한 출처를 확인하는 것이 좋을 것입니다.