Maison  >  Questions et réponses  >  le corps du texte

php - Analyse d'exemples spécifiques d'injection SQL et XSS

Mon site Web personnel a été attaqué il y a un mois, puis j'ai reçu un rapport de détection de vulnérabilité de 360 ​​aujourd'hui. Oh mon Dieu, 360 fait toujours ce genre de chose ?

Pourquoi est-il toujours injecté lorsque j'utilise des ajouts obliques lors de l'écriture dans la base de données ? Le lien 1 et le lien 2 doivent-ils être combinés pour être injectés ?
Quant à la deuxième vulnérabilité, je ne sais pas comment m’en défendre.
Je n'ai pas de recherche approfondie sur la sécurité du site. Je voudrais vous demander d'analyser comment cela est réalisé et comment corriger les failles. Merci.
Si vous avez besoin d'écrire le code dans la base de données, je le publierai.

PS, l'écriture des liens sera automatiquement raccourcie par SF, donc un espace est ajouté après http:.


Après le débogage, il peut en effet être injecté... Je ne connais toujours pas assez SQL

La déclaration finale écrite dans la base de données est :

insert into comment values(NULL,1,1497261734,'88888',0,'hacker@hacker.org','http://www.hacker.org/','182.118.33.8','88888',0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23);

Je voudrais demander ce que signifie la dernière phrase

0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23
高洛峰高洛峰2708 Il y a quelques jours1885

répondre à tous(3)je répondrai

  • PHP中文网

    PHP中文网2017-06-13 09:24:07

    Code de script HTML imbriqué xss, les paramètres doivent être convertis en entités HTML. Fonction htmlspecialchars

    La connexion 1 consiste à exécuter mysql en saisissant les mots-clés de mysql. Maintenant, il devrait être nécessaire de filtrer les mots-clés.

    Bien sûr, la meilleure façon d’éviter l’injection est d’utiliser le prétraitement ! ! ! !

    répondre
    1
  • PHP中文网

    PHP中文网2017-06-13 09:24:07

    1. Il est préférable d'utiliser des requêtes paramétrées au lieu d'épisser des instructions SQL.

    2. xss peut filtrer les codes de script comme <script> grâce au filtrage des paramètres.

    répondre
    1
  • 我想大声告诉你

    我想大声告诉你2017-06-13 09:24:07

    Votre code n'est pas du tout filtré

    répondre
    0
  • Annulerrépondre