谷歌搜索 PHP 教程一半以上含有 SQL 注入
2023-09-27 14:22:54 时间
在 Google 上搜索 php mysql 电子注册程序,搜索引擎返回了教程、操作方法及代码片段,然而其中绝大部分结果还存在有缺陷的数据库声明,例如下面这个有问题的:
// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");
下面的列出的返回结果是按照谷歌搜索的推荐顺序来的,其中剔除了一些无关文章跟付费专区内容。存在的问题有:
- SQL 查询的所有参数被分类转义
- 仅在绝对必要的情况下才转义传入的数据
- 作者尝试了一些转义,但发现漏洞
- 没有任何转义逻辑
笔者只是快速浏览了一下,就发现 30 个搜索结果中有 16 个含有 SQL 注入漏洞,而不少都是来自 SEO 优惠的胡编乱造。如果搜索者将这些代码包含在其编写的程序中,那么最后产生的程序将是不安全的。类似的安全问题已经存在多年。
参考链接:https://waritschlager.de/sqlinjections-in-google-results.html
相关文章
- php 公共方法Util
- PHP XML Parser函数
- PHP - AJAX 与 MySQL
- PHP操作PDO、预处理以及事务
- PHP执行系统外部命令函数:exec()、passthru()、system()、shell_exec()
- win7 配置IIS + php 环境
- [ PHP+jQuery ] ajax 多级联动菜单的应用:电商网站的用户地址选择功能 ( 一 ) - 传统下拉菜单
- PHP同时操作两个mysql数据库
- Jquery Ajax xml版Get请求PHP
- 怎么学好php
- php xml操作
- php加密字符串超时不可解密
- PHP第五课 自己主动类型转换与流程控制
- PHP-Java-Bridge使用笔记