ThinkPHP验证器本身不防注入,仅校验格式;真正防注入依赖验证后使用参数绑定而非字符串拼接,如where([‘id’=>$data[‘id’]])而非where(‘id=’.$data[‘id’])。

ThinkPHP验证器本身不防注入,它只校验格式,不干预变量如何被使用;真正起作用的是你校验完之后怎么把数据喂给查询构造器。
validate() 不等于防注入
很多人写完 Validate 规则就以为万事大吉,比如:
['id' => 'require|number', 'name' => 'alphaNum']
但攻击者传 id=1%20OR%201=1,验证器照样通过——因为 number 规则只认数字字符和小数点,%20 解码后是空格,1 OR 1=1 被当成字符串过掉了。验证器根本不管这值后面会不会拼进 SQL 或模板。
-
validate->check($data)返回true≠ 数据安全,只代表“符合你写的规则” - 规则里用
regex也要小心:写成^[w-.@]+$仍放过javascript:alert(1) - 自定义规则里如果调用了
Db::query()或拼接 SQL,反而引入新漏洞
验证后必须走参数绑定路径
验证只是第一筛,关键在“筛完怎么用”。哪怕 id 已通过 number 校验,若后续写成:
立即学习“PHP免费学习笔记(深入)”;
UserModel::where('id = ' . input('id'))->find();
照样中招。正确做法是让验证后的数据直接进查询构造器的数组接口:
- 用
data()提取过滤后字段:$data = (new UserValidate())->check($params) ? $params : []; - 所有
where()、update()、insert()都传数组:UserModel::where(['id' => $data['id']])->update(['name' => $data['name']]) - 批量操作也安全:
UserModel::insert($dataList),框架会自动拆解并绑定每个值
路由参数不在验证器默认覆盖范围
:id 这类 URL 路径参数不会进 $request->param(),所以即使你写了全局验证规则,它也不会被自动校验。
- 手动提取:
$id = $this->request->route('id')或input('id/s')(注意加/s否则读不到) - 显式送入验证器:
$validate->check(['id' => $id]),不能依赖自动绑定 - 更推荐前置防御:路由定义时加
pattern(),例如->pattern(['id' => 'd+']),从入口拦住非法格式
动态字段名必须白名单映射
验证器无法校验字段名本身是否合法。如果业务需要支持用户指定排序字段或更新字段,比如 ?sort=name,绝不能直接拼进 order() 或 where()。
- 定义白名单:
$allowFields = ['name', 'email', 'create_time']; - 校验后再映射:
$field = in_array(input('sort'), $allowFields) ? input('sort') : 'id'; - 禁止用
where($field . ' = ?', $value)这类写法——ThinkPHP 不识别这种动态键名,会退化为字符串拼接
最常被忽略的一点:验证器和查询构造器之间那行赋值代码,才是注入是否发生的分水岭。不是“用了 validate 就安全”,而是“validate 之后每一行 SQL 构造代码都得经得起参数绑定检验”。
文章来自机圈观察员网,发布者:,转载请注明出处:https://www.jqgcy.com/shoujipingce/124156.html