0
我們的Sitelock網站安全性在我們的網站上找到了一些容易受到攻擊的頁面。 它顯示的說明「注入點:GET;注塑參數:標識;注射型:數字」 我想提到的代碼是Sql注入錯誤
$sa1=DBSelect("select * from tbl where id='".$_REQUEST['sid']."'");
我們如何解決這個問題?任何想法?
Q
Sql注入錯誤
A
回答
0
首先,您不應使用$_REQUEST,因爲它會讀取$_GET,$_POST和$_COOKIE變量並查找所有這些值。
其次,您不驗證用戶輸入以檢查它是否安全。如果一個ID是一個整數,你至少應該做這樣的事情。
$sid = (int) $_GET['sid'];
$sa1=DBSelect("select * from tbl where id='" . $sid . "'");
+0
這是相當低效和有限的方法。 –
+0
我同意,但我的目標是指出驗證並在查詢數據庫之前確保輸入安全是問題。 – Pankucins
+0
是的,這是*輸入*驗證確實是一個直接導致注射的問題。你必須格式化你的查詢,而不是「驗證輸入」,而且必須比你的代碼更接近查詢執行。 –
相關問題
- 1. SQL注入:語法錯誤
- 2. SQL注入測試錯誤
- 3. SQL語法錯誤(SQL注入)
- 4. Rails的可能的SQL注入錯誤
- 5. SQL注入登錄表單錯誤
- 6. SQL註釋錯誤
- 7. ECC錯誤注入註冊
- 8. ngMeta注入錯誤
- 9. 錯誤注入com.gwtplatform.dispatch.rest.client.ActionMetadataProvider
- 10. AngularJS $注入服務注入錯誤
- 11. SQL Server註冊表錯誤
- 12. 你的SQL語法有錯誤;關於MySQL SQL注入
- 13. 如何使用SQL注入接收SQL語法錯誤?
- 14. SQL加入錯誤
- 15. SQL插入錯誤
- 16. SQL插入錯誤
- 17. 依賴注入錯誤
- 18. Vuejs注入:一些錯誤
- 19. Ninject注入錯誤類型
- 20. 錯誤時注入ngRoute
- 21. Uncought錯誤注入器:: modulerr
- 22. AngularJS routeprovider注入錯誤
- 23. mysql注入錯誤1064
- 24. 角度ngRoute注入錯誤
- 25. angular 1.6.5 angular.bootstrap注入錯誤
- 26. 依賴注入錯誤[Xamarin]
- 27. Angularjs ng-Grid注入錯誤
- 28. PlayFramework 2.5.12 JPAApi注入錯誤
- 29. 注入法內部錯誤
- 30. Xtext注入綁定錯誤
請在這裏閱讀http://php.net/manual/en/pdo.prepared-statements.php – elclanrs
在側欄中查看相關問題。 –