php – mysql注入损害赔偿?
作者:互联网
我只是注意到我的mysql_real_escape_string函数不在我的一些PHP脚本中,并且它很容易受到注入以及在我的生产站点上执行的睡眠(30)之类的事情.
我正在进行PDO路由,并在经过大量阅读后实现准备好的语句.但这还没有实现.
几乎没有问题,我在日志中看到很多注射都是由人在线完成但我看不到任何损害.站点运行以执行sql查询的用户具有更新/选择/删除/仅插入权限.
但我担心像睡觉(30)和什么不起作用,如果他们做了任何损害我没有看到?
您能告诉我在哪里检查损坏赔偿还是我至少可以获得重大损失?
他们可以更改隐藏的mysql设置或系统设置吗?
顺便说一句,我试图在centos 6 linux和php上运行最新的更新.
谢谢
编辑:
只是为了澄清,数据库几乎是空的,我不担心数据存在,密码是sh512.所以里面的数据并不重要,因为这是我正在写的新应用程序.但我很担心,如果他们改变了系统上的任何东西,或者我应该担心的db.我看到的一些注射有java等,但是日志很大,需要时间来检查它.我还在注射中看到一些模式字符串.
现在问题是他们可以阅读我的架构信息还是修改它们?如果是限制用户,为什么像睡眠这样的函数会起作用?他们还能运行什么其他功能?
请注意我在同一个MySQL中有其他数据库.我应该担心那些吗?
通过”我的意思是:
select * from dbname where id = scaped_string
我应该把它放在引号中
解决方法:
检查对数据造成的损坏取决于数据库中的数据类型.如果仔细检查后你没有看到任何错误,那么可能没有错.如果您的数据大小合适,这将很难或不可能.
有很多自动机器人在互联网上漫游,寻找易受SQL注入攻击的代码.他们的尝试可能就是您在日志中看到的内容.仅仅因为尝试并不一定意味着发生入侵.
另请注意,您不一定会有数据被盗的证据.确定这一点的最佳方法是获取服务器日志并在当前服务器的副本上重播它们,检查是否收到任何数据.
标签:php,linux,mysql,database,code-injection 来源: https://codeday.me/bug/20190901/1780481.html