1
我正在查看一些舊的PHP代碼,試圖找出它是否容易受到SQL注入攻擊。我的老闆認爲這是安全的,但我很猶豫接受。它使用的是Oracle數據庫。oracle中的SQL注入與消毒輸入
這是舊代碼,查詢是通過字符串連接(sprintf)構建的。但是,用戶輸入字符串已刪除所有連字符和空格(通過str_replace),並調用addslashes()。在這種情況下是否還有任何襲擊威脅?你能給個例子嗎?
由於編寫代碼我們已經轉向使用參數化查詢,所以理想情況下我們更新它,但我試圖證明需要這樣做。
不,這聽起來不太安全。告訴你的老闆,這是不安全的。如果他拒絕聽,那麼也許嘗試讓其他員工在你身邊。如果這不起作用,讓他睡在自己的牀上。如果你的服務器被攻破了,那麼就笑他的臉,並告訴他你告訴他了。 –