筛选用于SQL注入的URL查询字符串-PHP
作者:互联网
我得到了一个网站来修复最近使用SQL注入被黑客入侵的网站.据我所知,Havij自动SQL注入器用于将代码插入url的查询字符串参数中.
该网站是一个自定义的CMS版本,有些过时.我认为不可能全面重建.
防止这种情况再次发生的最佳方法是什么?我是PHP开发人员,但通常只是在表单上进行验证,或使用已内置此功能的系统-wordpress,codeigniter,drupal等.
任何想法或想法表示赞赏.
谢谢
解决方法:
只有一个简单的规则:放入sql查询中的每个变量(无论从何而来-还是来自用户,还是已经从数据库中获取),都应先使用mysql_real_escape_string()进行清理.
也可以使用准备好的查询(准备好的语句/占位符),不要紧.
标签:sql-injection,xss,php 来源: https://codeday.me/bug/20191023/1914318.html