84669 人学习
152542 人学习
20005 人学习
5487 人学习
7821 人学习
359900 人学习
3350 人学习
180660 人学习
48569 人学习
18603 人学习
40936 人学习
1549 人学习
1183 人学习
32909 人学习
AND (SELECT 2693 FROM(SELECT COUNT(*),:vxd:,(SELECT MID((IFNULL(CAST(count(*) AS CHAR),'')),1,50) FROM vip_card WHERE sn like '20%' and active=1),:hez:,0)x FROM information_schema.tables GROUP BY x)a)
以上是我查到被注入的语句,请问这条语句是如何产生的,网站又需要如何更好地去防御这类攻击?
学习是最好的投资!
php - mysql注入问题-PHP中文网问答-php - mysql注入问题-PHP中文网问答
围观一下哦,学习一下。
此处原本代码应该当是and(后跟的变量未被过滤,从代码来看,此处应当期望输入的是一个数字,所以此处应当intval输入的参数。
例如
$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";
我之所以认为这边期望输入的是一个数字,是因为and后面的(内没有单引号,不是and(',如果期望引用的不是数字而是字符串的话,在正常业务中就会出错。
我建议,引用输入的时候,都必须用单引号包裹,可以考虑楼上说的pdo这类占位符机制引入变量
您可以看看pdo中的prepare。:)
mysql 和 php 都提供了放注入的机制。不过,推荐使用 PDO。
传入参数要用参数对象来处理。自己直接=号,很容易被注入。
防注入~~我选PDO。。。
PDO.... 同意楼上的
PDO修炼中
稍大一点的公司都会封装一些函数来防注入的....
php - mysql注入问题-PHP中文网问答-php - mysql注入问题-PHP中文网问答
围观一下哦,学习一下。
此处原本代码应该当是and(后跟的变量未被过滤,从代码来看,此处应当期望输入的是一个数字,所以此处应当intval输入的参数。
例如
$sql = "SELECT xxx from table where cid = '1' and (".intval($_GET['ids'].")";
我之所以认为这边期望输入的是一个数字,是因为and后面的(内没有单引号,不是and(',如果期望引用的不是数字而是字符串的话,在正常业务中就会出错。
我建议,引用输入的时候,都必须用单引号包裹,可以考虑楼上说的pdo这类占位符机制引入变量
您可以看看pdo中的prepare。:)
mysql 和 php 都提供了放注入的机制。不过,推荐使用 PDO。
传入参数要用参数对象来处理。自己直接=号,很容易被注入。
防注入~~我选PDO。。。
PDO.... 同意楼上的
PDO修炼中
稍大一点的公司都会封装一些函数来防注入的....