请问SQL injection 漏洞怎么“堵”

PHP程序设计语言和相关项目讨论
Post Reply
小米啊
初来乍到
初来乍到
Posts: 3
Joined: 2008-03-13 14:32

请问SQL injection 漏洞怎么“堵”

Post by 小米啊 » 2008-03-14 10:05

用测试工具测得ucp.php中存在sql injection
如sid ,mode,username,password等
请问下应该怎么修改

User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3645
Joined: 2006-10-17 1:48

Re: 请问SQL injection 漏洞怎么“堵”

Post by IOsetting » 2008-03-14 13:33

一般此漏洞是因为对客户端提交的变量没有经过校验直接传递给sql生成.
在phpBB3中, 使用了 request_var(var, type); 函数对所有的提交进行检验, 你在ucp.php中可以看到

Code: Select all

// Basic parameter data
$id 	= request_var('i', '');
$mode	= request_var('mode', '');
这就是经过检验的变量. 基本上不会有被注入的危险.

小米啊
初来乍到
初来乍到
Posts: 3
Joined: 2008-03-13 14:32

Re: 请问SQL injection 漏洞怎么“堵”

Post by 小米啊 » 2008-03-17 13:47

谢谢。可我测出来就是存在漏洞。
我想可能还和php.ini配置有关吧。我试了下这个论坛就不会出错。
能否把本论坛的php.ini,一些与漏洞相关的设置,让我学习下。

User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3645
Joined: 2006-10-17 1:48

Re: 请问SQL injection 漏洞怎么“堵”

Post by IOsetting » 2008-03-18 17:55

这里没有任何特殊设置哦, 而且php.ini也不是我管理, 所以, 你得问一下php配置方面的大大...

小米啊
初来乍到
初来乍到
Posts: 3
Joined: 2008-03-13 14:32

Re: 请问SQL injection 漏洞怎么“堵”

Post by 小米啊 » 2008-03-19 10:18

恩,谢了!

一帘幽梦
初来乍到
初来乍到
Posts: 3
Joined: 2008-09-17 9:42

Re: 请问SQL injection 漏洞怎么“堵”

Post by 一帘幽梦 » 2008-09-25 13:38

不错,学习了。。。。。。第一页网络科技有限公司 支持下。。。。。。

Post Reply