_frontendCSRF cookie似乎很容易受到SQL注入攻擊

Question

我得到了測試公司的這個測試問題，_frontendCSRF cookie可能導致sql注入。他們提供它爲login頁面。我的申請是建立在yii2。這裏是詳細信息。

的_frontendCSRF餅乾似乎容易受到SQL注入攻擊 。有效負載'）和％20benchmark（20000000％2csha1（1）） - ％20是在_frontendCSRF cookie中提交的 。應用程序花了11004 毫秒來響應請求，與原始請求的1681 毫秒相比，表明注入的 SQL命令造成了時間延遲。

Cookie: PHPFRONTSESSID=62ca0ebed7ad7d7c5e15a8c267f77551; current_shop=2; site_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Ffrontend%2Fweb; blog_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Fblog; is_buyold_login=0; _language=ba7c0570c541af8890cb020f80553258ee37070af083c555286d73a4165020c5a%3A2%3A%7Bi%3A0%3Bs%3A9%3A%22_language%22%3Bi%3A1%3Bs%3A2%3A%22au%22%3B%7D; _frontendCSRF=ae5e122353d27ce1288157fc2b42e65dacf96d5fc4c5d0d7f883c19215138691a%3A2%3A%7Bi%3A0%3Bs%3A13%3A%22_frontendCSRF%22%3Bi%3A1%3Bs%3A32%3A%22S8P_oYh_fNd-eODMV4NMrUqkebCWEKsL%22%3B%7D')and%20benchmark(20000000%2csha1(1))--%20; __atuvc=6%7C31; __atuvs=57a03a16ead33d80005 
Connection: keep-alive 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 153 

現在我的項目是處於測試階段，因此它在http。它有什麼解決方案？ 可以在會話中使用_frontendCSRF或https會解決嗎？任何幫助，將不勝感激。

Answer 1

這聽起來很驚人，但看實際的代碼從目前的Yii 2.0.9構架我沒有看到任何SQL在驗證過程中使用：yii2/web/Request.php

現在我不是AA安全專家。 ..你可能想

1. 從您的測試公司獲得更詳細的技術報告，所以測試可以在一個乾淨的再現安裝yii2
2. 文件的安全問題：https://github.com/yiisoft/yii2/issues