我得到了一个网站来修复最近被使用 SQL 注入攻击的网站。据我所知,Havij 自动 SQL 注入器用于将代码插入到 url 的查询字符串参数中。
该网站是一个定制的 CMS 版本,有点过时了。我认为不太可能进行全面重建。
防止这种情况再次发生的最佳方法是什么?我是一名 PHP 开发人员,但通常只是对表单进行验证,或者使用已经内置此功能的系统 - wordpress、codeigniter、drupal 等。
感谢任何想法或想法。
谢谢
【问题讨论】:
标签: php sql-injection xss
只有一个简单的规则:每一个变量(不管它来自哪里——来自用户还是已经从数据库中获取)被放入 sql 查询应该是之前用mysql_real_escape_string() 进行过消毒。
或者你可以使用准备好的查询(准备好的语句/占位符),没关系。
【讨论】:
' AND id = ' . (int) $id
您可能无法更改所有代码,但也许您可以更改数据库代码。如果是这样,请尝试使用 PDO 和准备好的语句。我推荐 pdo 因为您没有指定数据库类型。如果你用的是mysql,我觉得mysqli也提供prepared statements。
【讨论】:
$url = filter_var($url, FILTER_SANITIZE_URL);
【讨论】: