谷歌搜索 PHP 教程一半以上含有 SQL 注入
Posted 极客日报
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了谷歌搜索 PHP 教程一半以上含有 SQL 注入相关的知识,希望对你有一定的参考价值。
在 Google 上搜索 php mysql 电子注册程序,搜索引擎返回了教程、操作方法及代码片段,然而其中绝大部分结果还存在有缺陷的数据库声明,例如下面这个有问题的:
// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");
下面的列出的返回结果是按照谷歌搜索的推荐顺序来的,其中剔除了一些无关文章跟付费专区内容。存在的问题有:
- SQL 查询的所有参数被分类转义
- 仅在绝对必要的情况下才转义传入的数据
- 作者尝试了一些转义,但发现漏洞
- 没有任何转义逻辑
笔者只是快速浏览了一下,就发现 30 个搜索结果中有 16 个含有 SQL 注入漏洞,而不少都是来自 SEO 优惠的胡编乱造。如果搜索者将这些代码包含在其编写的程序中,那么最后产生的程序将是不安全的。类似的安全问题已经存在多年。
参考链接:https://waritschlager.de/sqlinjections-in-google-results.html
以上是关于谷歌搜索 PHP 教程一半以上含有 SQL 注入的主要内容,如果未能解决你的问题,请参考以下文章