我想知道有哪些漏洞而直接使用 GET 和 POST 变量。
即没有修剪和addslashes函数和mysql转义字符串之类的东西。
我的问题是
我们还需要照顾什么在使用 GET 和 POST 时。
有哪些类型的攻击比如SQL注入?
一般来说,不仅限于 GET 和 POST,还包括any来自系统外部的数据(包括 Web 应用程序中的 cookie):
几乎所有漏洞都归结为“用户可以在您传递输入的上下文中运行他们喜欢的任何代码”。
- 如果您将其传递给 SQL 数据库,他们就可以运行他们喜欢的任何 SQL。
- 如果您将其传递给 HTML 文档,他们可以添加他们喜欢的任何标记(包括 JavaScript)
- 如果将其传递给系统 shell,他们就可以运行他们喜欢的任何系统命令。
- 如果您使用他们选择的名称打开文件,他们就可以打开他们喜欢的任何文件。
ETC。
您需要考虑您正在使用数据做什么。寻找世界上任何系统接受受污染的输入时可能出错的事情的列表并不会产生详尽的列表。
顺便说一句:忘记addslashes(它没有效果),忘记mysql_real_escape(它太容易犯错误了)。使用参数化查询:如何防止 PHP 中的 SQL 注入? https://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)