网站出问题了,有漏洞,今天来这里请csdn的兄弟帮忙解决
我做了个保健品站 http://www.bjp51.net 这两天有点问题,用360一扫,高危,只有49分,报告如下:
第一个是很严重的问题,今天想把第一个问题解决了。
看下360给出的意见
我不知道怎么改,希望大家帮忙解决下。
回复讨论(解决方案)
这是contrast.php的文件源码
<body><?php$id='';if(!empty($_POST['id'])){ for($i=0; $i<count($_POST['id']);$i++){ $id=$id.($_POST['id'][$i].','); } $id=substr($id,0,strlen($id)-1);//去除最后面的","}if ($id==''){echo "<script lanage='javascript'>alert('操作失败!至少要选中一条信息。');window.opener=null;window.open('','_self');window.close()</script>";exit;} $tdwidth=floor(90/$i);//取整,左边占10%$sql="select * from zzcms_main where id in ($id)" ;$rs=mysql_query($sql);?><table width="100%" height="218" border="0" align="center" cellpadding="5" cellspacing="1" class="bgcolor3"> <tr> <td width="10%" align="center" bgcolor="#FFFFFF">【产品图片】 </td> <?php while ($row=mysql_fetch_array($rs)){?> <td bgcolor="#FFFFFF" style="font-weight:bold" width="<?php echo $tdwidth ?>%"><a href="<?php echo $row["img"]?>" target="_blank"><img <?php echo getsmallimg($row["img"],"")? alt="网站出问题了,有漏洞,今天来这里请csdn的兄弟帮忙解决" > alt="<?php echo $row["proname"]?>" border="0" ></a></td> <?php } ?> </tr> <tr class="bgcolor1"> <td width="100" align="center">【产品名称】 </td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td style="max-width:90%"><?php echo $row["proname"]?></td> <?php } ?> </tr> <tr> <td width="100" align="center" bgcolor="#FFFFFF">【主要功能】</td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td valign="top" bgcolor="#FFFFFF" ><?php echo $row["prouse"]?></td> <?php } ?> </tr> <tr class="bgcolor1"> <td width="100" align="center">【规格包装】</td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td><?php echo $row["gg"]?></td> <?php } ?> </tr> <tr class="bgcolor1"> <td width="100" align="center"><strong>招商区域</strong></td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td><?php echo $row["city"]?></td> <?php } ?> </tr> <tr> <td width="100" align="center" bgcolor="#FFFFFF"><strong>产品说明</strong></td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td valign="top" bgcolor="#FFFFFF"><?php echo nl2br($row["sm"])?></td> <?php } ?> </tr> <tr class="bgcolor1"> <td width="100" align="center"><strong>可提供的支持</strong></td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td valign="top"><?php echo nl2br($row["zc"])?></td> <?php } ?> </tr> <tr> <td width="100" align="center" bgcolor="#FFFFFF"><strong>对代理商的要求</strong></td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td valign="top" bgcolor="#FFFFFF"><?php echo nl2br($row["yq"])?></td> <?php } ?> </tr> <tr class="bgcolor1"> <td width="100" align="center"><strong>备注</strong></td> <?php mysql_data_seek($rs,0); while ($row=mysql_fetch_array($rs)){?> <td><?php echo nl2br($row["other"])?></td> <?php } ?> </tr></table><table width="100%" style="max-width:90%" border="0" cellpadding="0" cellspacing="0"> <tr> <td align="center"><input type="button" name="Submit" value="关闭本窗口" onClick="javascript:window.close()"></td> </tr></table><?phpmysql_close($conn);?></body> $id='';
if(!empty($_POST['id'])){
for($i=0; $i
}
$id=substr($id,0,strlen($id)-1);//去除最后面的","
}
$sql="select * from zzcms_main where id in ( $id)"
他认为你未经检查就在 sql 指令中使用了传入的数据
$id='';
if(!empty($_POST['id'])){
for($i=0; $i
}
$id=substr($id,0,strlen($id)-1);//去除最后面的","
}
$sql="select * from zzcms_main where id in ( $id)"
他认为你未经检查就在 sql 指令中使用了传入的数据
我是php小白,请问我应该怎么验证,怎么检查好呢?
还有我不检查,是不是很容易被注入呢?
$id = $id . (intval($_POST['id'][$i]) . ',');
SQL注入的原理是,从地址栏或者表单中注入
如果你从地址栏得到一个$_GET["a"],不经过过滤就直接使用到程序中,就会造成威胁。比如:
如果$_GET["a"]=1;那么:
$sql = "SELECT * FROM AA WHERE id =$_GET["a"]";就是$sql = "SELECT * FROM AA WHERE id =1";
但如果别人通过地址栏自行修改,把$_GET["a"]的值改为1 or (and) XXX各类代码,那这个查询语句就变成
$sql = "SELECT * FROM AA WHERE id =1 or(and) xxx";
于是就中招了。
所以地址栏和表单得到的参数,一定要格式化,过滤好,指定是什么类型,多长,限制哪些字符……
$sql="select * from zzcms_main where id in ($id)" ;
$id?有?行??,用??入什?都可以,?然被注入了。
因?id只能是?字,所以可以用intval?成?字,如果非?字???0,??就注入不到了。
安全级别:高危
安全等级打败了全国46%的网站!
$id=$id.(intval($_POST['id'][$i]).',');
传入的数据把单引号替换为两个连续的单引号 , sql语句用传入的参数时加上单引号。
$id = str_replace("'","''",$_POST['id']);
$sql = " select * from tb_user wher id='$id' ";
这样就不怕注入了。
谢谢 您们的回答 我目前是把$id=$id.($_POST['id'][$i].','); 替换成 $id = $id . (intval($_POST['id'][$i]) . ','
就对了
上面的不对,我改成这样了
if(!empty($_POST['id'])){
for($i=0; $i
$id = $id.(intval($_POST['id'][$i]).',');
}
$id=substr($id,0,strlen($id)-1);//去除最后面的","
}
这样是不是对了
if(!empty($_POST['id'])) { $id = join(',', array_map('intval', $_POST['id']));}
if(!empty($_POST['id'])) { $id = join(',', array_map('intval', $_POST['id']));}我对php不熟,我就用这段代码,不用找变量了
感谢版主无私的精神。
我才发现,另一个问题也是您在为我解决,再次感谢!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1393
52
1205
24
Penyelesaian kepada masalah bahawa sistem Win11 tidak dapat memasang pek bahasa Cina
Mar 09, 2024 am 09:48 AM
Penyelesaian kepada masalah sistem Win11 tidak dapat memasang pek bahasa Cina Dengan pelancaran sistem Windows 11, ramai pengguna mula menaik taraf sistem pengendalian mereka untuk mengalami fungsi dan antara muka baharu. Walau bagaimanapun, sesetengah pengguna mendapati bahawa mereka tidak dapat memasang pek bahasa Cina selepas menaik taraf, yang menyusahkan pengalaman mereka. Dalam artikel ini, kami akan membincangkan sebab mengapa sistem Win11 tidak dapat memasang pek bahasa Cina dan menyediakan beberapa penyelesaian untuk membantu pengguna menyelesaikan masalah ini. Analisis sebab Pertama, mari kita menganalisis ketidakupayaan sistem Win11 untuk
Lima petua untuk mengajar anda cara menyelesaikan masalah telefon Black Shark tidak dihidupkan!
Mar 24, 2024 pm 12:27 PM
Apabila teknologi telefon pintar terus berkembang, telefon bimbit memainkan peranan yang semakin penting dalam kehidupan seharian kita. Sebagai telefon perdana yang memfokuskan pada prestasi permainan, telefon Black Shark sangat digemari oleh pemain. Namun, kadangkala kita juga menghadapi situasi telefon Black Shark tidak boleh dihidupkan Pada masa ini, kita perlu mengambil beberapa langkah untuk menyelesaikan masalah ini. Seterusnya, izinkan kami berkongsi lima petua untuk mengajar anda cara menyelesaikan masalah telefon Black Shark tidak dihidupkan: Langkah 1: Periksa kuasa bateri Pertama, pastikan telefon Black Shark anda mempunyai kuasa yang mencukupi. Ia mungkin kerana bateri telefon telah habis
Bagaimana untuk menyelesaikan masalah menyimpan gambar secara automatik semasa menerbitkan di Xiaohongshu? Di manakah imej yang disimpan secara automatik semasa menyiarkan?
Mar 22, 2024 am 08:06 AM
Dengan perkembangan media sosial yang berterusan, Xiaohongshu telah menjadi platform untuk lebih ramai golongan muda berkongsi kehidupan mereka dan menemui perkara yang indah. Ramai pengguna bermasalah dengan isu autosimpan semasa menyiarkan imej. Jadi, bagaimana untuk menyelesaikan masalah ini? 1. Bagaimana untuk menyelesaikan masalah menyimpan gambar secara automatik semasa menerbitkan di Xiaohongshu? 1. Kosongkan cache Pertama, kita boleh cuba mengosongkan data cache Xiaohongshu. Langkah-langkahnya adalah seperti berikut: (1) Buka Xiaohongshu dan klik butang "Saya" di sudut kanan bawah (2) Pada halaman tengah peribadi, cari "Tetapan" dan klik padanya (3) Tatal ke bawah dan cari "; Kosongkan Cache". Klik OK. Selepas mengosongkan cache, masukkan semula Xiaohongshu dan cuba siarkan gambar untuk melihat sama ada masalah penjimatan automatik telah diselesaikan. 2. Kemas kini versi Xiaohongshu untuk memastikan bahawa Xiaohongshu anda
Pemacu tidak boleh dimuatkan pada peranti ini Bagaimana untuk menyelesaikannya? (Diuji secara peribadi dan sah)
Mar 14, 2024 pm 09:00 PM
Semua orang tahu bahawa jika komputer tidak dapat memuatkan pemacu, peranti mungkin tidak berfungsi dengan betul atau berinteraksi dengan komputer dengan betul. Jadi bagaimana kita menyelesaikan masalah apabila kotak gesaan muncul pada komputer bahawa pemandu tidak boleh dimuatkan pada peranti ini? Editor di bawah akan mengajar anda dua cara untuk menyelesaikan masalah dengan mudah. Tidak dapat memuatkan pemacu pada peranti ini Penyelesaian 1. Cari "Pengasingan Kernel" dalam menu Mula. 2. Matikan Integriti Memori, dan ia akan menggesa "Integriti Memori telah dimatikan. Peranti anda mungkin terdedah. Klik di belakang untuk mengabaikannya, dan ia tidak akan menjejaskan penggunaan." 3. Masalah boleh diselesaikan selepas menghidupkan semula mesin.
Kongsi kaedah untuk menyelesaikan masalah yang PyCharm tidak boleh dibuka
Feb 22, 2024 am 09:03 AM
Tajuk: Cara menyelesaikan masalah yang PyCharm tidak boleh dibuka ialah persekitaran pembangunan bersepadu Python yang berkuasa, tetapi kadangkala kita mungkin menghadapi masalah yang tidak dapat dibuka PyCharm. Dalam artikel ini, kami akan berkongsi beberapa penyelesaian biasa dan memberikan contoh kod khusus. Semoga ini membantu mereka yang menghadapi masalah ini. Kaedah 1: Kosongkan cache Kadangkala fail cache PyCharm boleh menyebabkan program gagal dibuka seperti biasa. Kami boleh cuba mengosongkan cache untuk menyelesaikan masalah ini. alat
Bagaimana untuk menyelesaikan masalah gateway lalai secara automatik hilang
Feb 24, 2024 pm 04:18 PM
Bagaimana untuk menyelesaikan masalah bahawa pintu masuk lalai hilang secara automatik Dalam masyarakat moden, Internet telah menjadi bahagian yang sangat diperlukan dalam kehidupan orang ramai. Sama ada untuk kerja atau hiburan, kita semua memerlukan sambungan rangkaian yang stabil untuk menyelesaikan pelbagai tugas. Gerbang lalai ialah salah satu elemen utama yang menghubungkan rangkaian tempatan ke Internet luaran. Walau bagaimanapun, kadangkala kita mungkin menghadapi masalah bahawa get laluan lalai hilang secara automatik, mengakibatkan ketidakupayaan untuk mengakses Internet. Jadi, bagaimanakah kita harus menyelesaikan masalah ini apabila gerbang lalai hilang? Pertama, kita harus menjelaskan konsep gerbang lalai. Gerbang lalai ialah laluan rangkaian
Bagaimana untuk menyelesaikan masalah bahawa pelayar Huawei telah berhenti mengakses halaman web ini
Feb 26, 2024 pm 01:28 PM
Bagaimana untuk menyelesaikan masalah bahawa pelayar Huawei telah berhenti mengakses halaman web ini? Apabila menggunakan penyemak imbas mudah alih Huawei untuk mengakses tapak web tertentu, gesaan yang menunjukkan bahawa akses adalah dilarang mungkin muncul, menghalang pengguna daripada menyemak imbas kandungan berkaitan seperti biasa. Ini sangat menyusahkan pengguna. Jadi, apakah yang perlu kita lakukan apabila kita menghadapi situasi di mana akses kepada tapak web penyemak imbas mudah alih Huawei adalah dilarang? Editor di bawah akan memberikan anda penyelesaian kepada masalah melarang akses kepada tapak web penyemak imbas Huawei. Saya harap ia akan membantu anda. Penyelesaian kepada larangan akses ke tapak web Pelayar Huawei 1. Selepas membuka penyemak imbas mudah alih Huawei, klik ikon tiga titik di bawah, dan kemudian klik Tetapan. 2. Selepas memasukkan tetapan, klik [Security and Privacy] 3. Matikan suis di sebelah kanan [Safe Browsing] untuk mengalih keluar sekatan akses tapak web. Perkara di atas adalah penyelesaian kepada larangan akses laman web pelayar Huawei.
Mentafsir ralat Oracle 3114: punca dan penyelesaian
Mar 08, 2024 pm 03:42 PM
Tajuk: Analisis Ralat Oracle 3114: Punca dan Penyelesaian Apabila menggunakan pangkalan data Oracle, anda sering menghadapi pelbagai kod ralat, antaranya ralat 3114 adalah yang biasa. Ralat ini biasanya melibatkan masalah pautan pangkalan data, yang mungkin menyebabkan pengecualian apabila mengakses pangkalan data. Artikel ini akan mentafsir ralat Oracle 3114, membincangkan puncanya dan memberikan kaedah khusus untuk menyelesaikan ralat dan contoh kod yang berkaitan. 1. Definisi ralat 3114 ralat Oracle 3114 lulus
