dqu94359 2015-01-24 13:11
浏览 26
已采纳

在SQL注入时,cakephp验证失败

i installed a plugin on my firefox browser which is called "SQL Inject Me" and then I tried it against my Cakephp website. I see that it was able to inject few blank accounts (some with password) and some without password. The database is not allowed to accept null values for username, emails etc also I'm not sure how is it able to bypass cakephp validation.

my cakephp validation for username field

        'username' => array(
            'username must not be empty' => array(
                'rule' => 'notEmpty',
                'message' => 'username field cannot be empty'
            ),


            'username must be unique' => array(
                'rule' => 'isUnique',
                'message' => 'username is already taken'

            )
            'username must not contain special character' => array(
                'rule' => 'usernameValidation',
                'message' => 'username can only contain numbers, characters, underscores, dashes and Periods. Underscore, dash and Period are only allowed in the middle.'
            )
        )
  • 写回答

3条回答 默认 最新

  • dtj4307 2015-03-02 19:29
    关注

    Validations were failing because if you remove fields from a form using developers tools like firebug then cakephp validations will not work for those removed fields.

    what i did to fix these issues is to use this code right before passing data to save method.

                if(!(isset($this->request->data['User']['email']))){
                $this->request->data['User']['email']='';
            }
            if(!(isset($this->request->data['User']['username']))){
                $this->request->data['User']['username']='';
            }
            if(!(isset($this->request->data['User']['password']))){
                $this->request->data['User']['password']='';
            }
            if(!(isset($this->request->data['User']['confirm_password']))){
                $this->request->data['User']['confirm_password']='';
            }

    If there is a missing field then this code will add that field and assign an empty string to it. Then those fields will be eligible for validation and will eventually fail validation.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • SQL注入cakephp验证失败 mysql php sql
    2015-01-24 13:11
    回答 3 已采纳 Validations were failing because if you remove fields from a form using developers tools like fire
  • CakePHP中进行sql查询后访问数据 php
    2016-11-21 20:33
    回答 2 已采纳 If you need particular row only from table,try this: $user = $this->UserVerifications
  • cakePHP-SQL-在sql中添加来自不同表的值 mysql php sql
    2014-02-19 16:37
    回答 2 已采纳 You should be able to use the DATE_ADD function for this WHERE DATE_ADD(dn.created, INTERVAL dn.r
  • 2021PHP经典面试题大全汇总(更新)
    2021-04-09 09:26
    CRMEB定制开发的博客 ②防SQL注入,对特殊代码进行过滤;③防止注册机灌水,使用验证码; 7、在程序的开发中,如何提高程序的运行效率? ①优化SQL语句,查询语句中尽量不使用select *,用哪个字段查哪个字段;少用子查询可用表连接代替...
  • 如何在cakephp代码中使用Sql的“like”功能 php sql
    2014-04-18 07:50
    回答 2 已采纳 Just use in your conditions array: 'Db_user.area_of_expertise LIKE' => '%'.keyword.'%'
  • cakephp中使用自定义查询出错? php sql
    2013-05-18 11:09
    回答 2 已采纳 This is from the CakePHP documentation: To use the model name as the array key, and get a result
  • 带有SQL函数的CakePHP列表 php sql
    2012-05-13 00:23
    回答 1 已采纳 It won't work because DAY(News.created) is a computed value, but it will probably work if you make
  • php面试题大全及答案
    2021-01-21 12:49
    艾莉宝贝的博客 PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? ...
  • 使用'OR'的CakePHP SQL操作 php sql
    2013-08-12 05:40
    回答 2 已采纳 Try: $this->Group->find('all', array('conditions' => array(
  • CakePHP REST API中输入数据验证 php
    2015-01-08 09:36
    回答 1 已采纳 Based on the documentation, in the controller you can use: $this->Model->set($this->requ
  • CakePHP sql查询 php sql
    2012-11-18 19:15
    回答 3 已采纳 When you delete a piece of news, CakePHP wont take care of the number of views in any other table.
  • php 面试常问的题目2
    2020-07-05 22:43
    nzz_171214的博客 PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使
  • cakephp 3-哈希密码在比较不匹配 php
    2017-04-05 12:38
    回答 2 已采纳 This is what my reset password workflow looks like. I cannot tell from your post what your entity
  • PHP面试题大全
    2019-12-20 09:54
    Rudon滨海渔村的博客  echo "创建目录失败";  }  }  } ?> 2.写出smarty模板的特点(新浪网技术部) 速度快,编译型,缓存技术,插件机制,强大的表现逻辑 3.打开php.ini中的safe_mode,会影响哪些函数?至少说出6个。(新浪...
  • 2017php经典面试题
    2019-10-05 18:10
    angel80619的博客 PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? ...
  • php面试常问的题目2
    2019-03-14 09:13
    qq_37138818的博客 PHP专业面试题汇总 ... 二、数据库部分 三、面向对象部分 四、ThinkPHP部分 五、smarty模板引擎 ...六、二次开发系统(DEDE、ecshop) ...PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统...
  • PHP 专业面试总结
    2019-04-09 14:57
    鸟飞惊了看花人的博客 PHP的运行环境最优搭配为Apache+mysql+PHP,此运行环境可以在不同操作系统(例如windows、linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? Get...
  • PHP 面试知识点整理归纳
    2018-09-05 18:33
    php小学一年级生的博客 这里要特别注意0这个值在某些表单验证情况下可能是有效值,此不能仅用empty判断变量是否有值,需要另作处理。 全部魔术函数理解 __construct   类的构造函数,常用来给类的属性赋值,注意事项: 如果子类...
  • PHP经典面试题
    2018-06-25 19:43
    慕斯蓉城的博客 一、PHP基础:PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台2、WEB开发中数据提交方式有几种?... Get传值在ur...
  • php经典面试题
    2018-08-04 09:05
    benben0729的博客 PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? ...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥50 易语言把MYSQL数据库中的数据添加至组合框
  • ¥20 求数据集和代码#有偿答复
  • ¥15 关于下拉菜单选项关联的问题
  • ¥20 java-OJ-健康体检
  • ¥15 rs485的上拉下拉,不会对a-b<-200mv有影响吗,就是接受时,对判断逻辑0有影响吗
  • ¥15 使用phpstudy在云服务器上搭建个人网站
  • ¥15 应该如何判断含间隙的曲柄摇杆机构,轴与轴承是否发生了碰撞?
  • ¥15 vue3+express部署到nginx
  • ¥20 搭建pt1000三线制高精度测温电路
  • ¥15 使用Jdk8自带的算法,和Jdk11自带的加密结果会一样吗,不一样的话有什么解决方案,Jdk不能升级的情况