84669 Lernen von Personen
152542 Lernen von Personen
20005 Lernen von Personen
5487 Lernen von Personen
7821 Lernen von Personen
359900 Lernen von Personen
3350 Lernen von Personen
180660 Lernen von Personen
48569 Lernen von Personen
18603 Lernen von Personen
40936 Lernen von Personen
1549 Lernen von Personen
1183 Lernen von Personen
32909 Lernen von Personen
AND (SELECT 2693 FROM(SELECT COUNT(*),:vxd:,(SELECT MID((IFNULL(CAST(count(*) AS CHAR),'')),1,50) FROM vip_card WHERE sn like '20%' and active=1),:hez:,0)x FROM information_schema.tables GROUP BY x)a)
以上是我查到被注入的语句,请问这条语句是如何产生的,网站又需要如何更好地去防御这类攻击?
学习是最好的投资!
php - mysql注入问题-PHP中文网问答-php - mysql注入问题-PHP中文网问答
围观一下哦,学习一下。
此处原本代码应该当是and(后跟的变量未被过滤,从代码来看,此处应当期望输入的是一个数字,所以此处应当intval输入的参数。
例如
$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";
我之所以认为这边期望输入的是一个数字,是因为and后面的(内没有单引号,不是and(',如果期望引用的不是数字而是字符串的话,在正常业务中就会出错。
我建议,引用输入的时候,都必须用单引号包裹,可以考虑楼上说的pdo这类占位符机制引入变量
您可以看看pdo中的prepare。:)
mysql 和 php 都提供了放注入的机制。不过,推荐使用 PDO。
传入参数要用参数对象来处理。自己直接=号,很容易被注入。
防注入~~我选PDO。。。
PDO.... 同意楼上的
PDO修炼中
稍大一点的公司都会封装一些函数来防注入的....
php - mysql注入问题-PHP中文网问答-php - mysql注入问题-PHP中文网问答
围观一下哦,学习一下。
此处原本代码应该当是and(后跟的变量未被过滤,从代码来看,此处应当期望输入的是一个数字,所以此处应当intval输入的参数。
例如
$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";
我之所以认为这边期望输入的是一个数字,是因为and后面的(内没有单引号,不是and(',如果期望引用的不是数字而是字符串的话,在正常业务中就会出错。
我建议,引用输入的时候,都必须用单引号包裹,可以考虑楼上说的pdo这类占位符机制引入变量
您可以看看pdo中的prepare。:)
mysql 和 php 都提供了放注入的机制。不过,推荐使用 PDO。
传入参数要用参数对象来处理。自己直接=号,很容易被注入。
防注入~~我选PDO。。。
PDO.... 同意楼上的
PDO修炼中
稍大一点的公司都会封装一些函数来防注入的....