これが可能かどうか、またその挿入を防ぐ方法を教えてください
私のページはソース アドレスを受け入れるためにこのメソッドを使用しています
URL.php で直接 $url=$_GET["url"] を使用して、訪問先ドメイン名情報を取得します
セキュリティの抜け穴を修正する方法はありますか?
-----解決策---------- ------- ---
SQL インジェクションは非常に一般的な Web サイトの脆弱性です。SQL インジェクションを防止したい場合は、抽象化レイヤーを構築できます。単純な抽象化は、検証スキームを関数に追加し、ユーザー入力の各項目に対してこの関数を呼び出すことです。もちろん、安全なクエリをアプリケーション全体に適用できるクラスにカプセル化する、より複雑で高レベルの抽象化を作成することもできます。オンラインで利用できるこのような既成の無料クラスが多数あります。この記事では、そのうちのいくつかについて説明します。
この抽象化を行うことには少なくとも 3 つの利点があります (それぞれセキュリティ レベルが向上します)。
1. コードをローカライズします。
2. クエリの構築をより高速かつ信頼性の高いものにします。これにより、作業の一部を抽象コードにオフロードできるためです。
3. セキュリティ機能を念頭に置いて構築され、適切に使用されると、前述したさまざまなインジェクション攻撃を効果的に防止できます。
既存のアプリケーションを改善する
既存のアプリケーションを改善したい場合は、単純な抽象化レイヤーを使用するのが最も適切です。収集したユーザー入力を単純に「サニタイズ」する関数は次のようになります:
function safety( $string ) {
return "'" . mysql_real_escape_string( $string ) 。 }
SQL インジェクションに関するいくつかの記事をご覧ください:
http://www.phpnewer.com/index.php/Public/IndexSearch/keyword/sql%E6%B3%A8% E5%85%A5
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
