【发布时间】:2016-12-01 15:49:05
【问题描述】:
晚上好, 我正在验证我的表单上的 PrestaShop。 错误反映:
您的模块包含安全问题。 - 确保您的数据在插入时始终受到保护。例如,确保您确实有一个带有 显式 (int) 强制转换,并且该文本受到 SQL 注入保护 感谢 pSQL() 方法。 - 小心(字符串)不是安全强制转换,你必须使用 pSQL。
我使用的插入查询如下:
Db::getInstance()->execute('INSERT IGNORE INTO '._DB_PREFIX_.'ff_list_filter (name, content) VALUES ("'.$t['filter_template_name'].'","'. str_replace('"', '\"', serialize($t)).'")');
或
Db::getInstance()->execute('INSERT IGNORE INTO `'._DB_PREFIX_.'ff_people` (`field`,`list`) VALUES ("'.$c->email.'",'.$listId.')');
或
Db::getInstance()->execute('INSERT IGNORE INTO '._DB_PREFIX_.'ff_custom_field (field, list) VALUES ("'.$field.'"," ","'.$list.'")');
你见过这样的事吗?
【问题讨论】:
-
好吧,你并没有逃避你的价值观,你不想分发一个带有 SQL 注入的模块,对吗?
标签: php mysql security prestashop prestashop-1.6