筛选用于SQL注入的URL查询字符串-PHP

我得到了一个网站来修复最近使用SQL注入被黑客入侵的网站.据我所知,Havij自动SQL注入器用于将代码插入url的查询字符串参数中.

该网站是一个自定义的CMS版本,有些过时.我认为不可能全面重建.

防止这种情况再次发生的最佳方法是什么？我是PHP开发人员,但通常只是在表单上进行验证,或使用已内置此功能的系统-wordpress,codeigniter,drupal等.

任何想法或想法表示赞赏.

谢谢

解决方法:

只有一个简单的规则：放入sql查询中的每个变量(无论从何而来-还是来自用户,还是已经从数据库中获取),都应先使用mysql_real_escape_string()进行清理.

也可以使用准备好的查询(准备好的语句/占位符),不要紧.

标签：sql-injection,xss,php
来源： https://codeday.me/bug/20191023/1914318.html