我需要一些幫助,在我的數據庫中找到一個奇怪的代碼。 它看起來像有人試圖提交GET請求。 我發現的代碼是:GET請求中的奇怪代碼PHP
/news/html/?0'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.html/
據我所知,他們正試圖得到一些信息,但什麼是他們試圖獲得準確,如何保護我免受這種代碼的網站?
非常感謝!
看起來他們正試圖利用SQL注入漏洞ility。沒有SQL注入漏洞,你會沒事的。這是一個很好的閱讀主題:https://secure.php.net/manual/en/security.database.sql-injection.php這也是一個很好的開始:https://stackoverflow.com/questions/60174/how-can-i-prevent-sql -injection-in-php – David
您也可以創建白名單或黑名單,並檢查是否有任何請求包含注入代碼(ei:1 = 1,';)等,具體取決於很多「白色」或者需要多少「黑色」,其中一個或另一個可以作爲附加層添加。我重複說,作爲一個額外層添加,正確的注入安全(準備好的聲明,..PROPER轉義)是強制性的。一切都在上面的@David發佈的鏈接中解釋。 –