ホームページ >バックエンド開発 >PHPチュートリアル >SQL インジェクションに関するいくつかの関連問題。
SQL インジェクションに関するいくつかの質問...URL インジェクション....
いくつかの SQL インジェクション ツールを使用してバックエンドを検出...インジェクションされる可能性があることがわかりました...インジェクションを防ぐ方法についてアドバイスを求めたい
フォーム検出で不正な文字はすべて除外されました...
URL から不正な文字を除外する方法がわかりません...
URL インジェクションとアンチインジェクションの原理を理解したいのですが...
ツールのこれらについてはよくわかりません
XXXX.com/adminlogin.php/** /そして/**/1=1
XXXX.com/adminlogin.php/**/そして/**/1=1/**/連合/**/select/**/1,2,3,4, 5,6,7,8,9/ *
アドレスからクエリを送信するにはどうすればよいですか?
-----解決策---------
理論的には、受信データを処理せずに直接 SQL 命令に適用する限り、SQL インジェクションの可能性はあります
SQL インジェクションによる被害を評価する方法は少し難しいです
1. PHP は SQL インジェクションを防ぐための措置を講じています。一度に実行できる SQL コマンドは 1 つだけです。これにより、SQL 命令のリファクタリングによって壊滅的な損害が発生する可能性が排除されます。 (追加の削除、ドロップ)
2. 例外は mysqli_multi_query で、一度に複数の命令を実行できます。これによってもたらされるリスクはユーザー自身が負担する必要があります。
3. クエリ条件 (常に設定されている) を変更するだけでは脅威にはなりません。これを実行できるのは、せいぜい Web サイト管理者の権限です。最初に、解決するために特別な名前の管理者を挿入します。ユーザー名がその名前であることを確認している限り、プログラムを終了します
4。または、この列に表示されるべきではないデータが表示されますが、これは他のユーザーの通常の閲覧には影響しません
短くて一番