是否可以使用 file_get_contents("php://input"); 进行 sql 注入?还是可以仅使用获取和发布?

【问题标题】:Is sql injection possible with file_get_contents("php://input"); or it is possible just with get and post?是否可以使用 file_get_contents("php://input"); 进行 sql 注入?还是可以仅使用获取和发布?
【发布时间】:2012-03-01 18:25:26
【问题描述】:

我有一个与嵌入式 swf 对象通信的网站。 flash 运行 sendAndLoad("URL", receiver) 命令与服务器传输 xml 字符串,服务器使用 file_get_contents("php://input") 从 flash 接收 xml 字符串。我应该担心sql注入攻击吗?

【问题讨论】:

  • any 并且所有数据都是可疑的,但是对于 SQL 注入,这是无关紧要的。有效数据可以包含引号,有效数据可以包含字符串'; ALTER TABLE,例如在一些关于 SQL 的博客中。始终使用提供的方法。

标签: php sql flash code-injection


【解决方案1】:

简短回答:是的

更长一点的答案:虽然不是立即显而易见,但如果数据未正确转义,则可以伪造请求并导致注入。仅仅因为数据通常来自闪存对象并不意味着不能创建自己的脚本来发送恶意数据。

【讨论】:

  • 我不会把那个字符串直接放在sql查询中,我使用xml解析器来解析传入的xml并获取一些变量,那还危险吗?
  • 是的。可以发送带有“恶意变量”的有效 XML。虽然这比您通常的 SQL 注入需要更多的努力,但它仍然是可能的。作为一般的经验法则:无论何时来自用户的东西,尽你所能逃避它。
  • 闪存有一些限制,可以避免跨域访问资源。我需要知道 php 服务器是否只接受来自同一目录中的 swf 文件的 xml 字符串?
猜你喜欢
  • 2022-06-13
  • 2017-01-04
  • 1970-01-01
  • 2012-02-19
  • 1970-01-01
  • 2011-07-06
  • 1970-01-01
  • 2012-05-14
  • 2012-11-03
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode