Page 1 of 1

请问SQL injection 漏洞怎么“堵”

Posted: 2008-03-14 10:05
by 小米啊
用测试工具测得ucp.php中存在sql injection
如sid ,mode,username,password等
请问下应该怎么修改

Re: 请问SQL injection 漏洞怎么“堵”

Posted: 2008-03-14 13:33
by IOsetting
一般此漏洞是因为对客户端提交的变量没有经过校验直接传递给sql生成.
在phpBB3中, 使用了 request_var(var, type); 函数对所有的提交进行检验, 你在ucp.php中可以看到

Code: Select all

// Basic parameter data
$id 	= request_var('i', '');
$mode	= request_var('mode', '');
这就是经过检验的变量. 基本上不会有被注入的危险.

Re: 请问SQL injection 漏洞怎么“堵”

Posted: 2008-03-17 13:47
by 小米啊
谢谢。可我测出来就是存在漏洞。
我想可能还和php.ini配置有关吧。我试了下这个论坛就不会出错。
能否把本论坛的php.ini,一些与漏洞相关的设置,让我学习下。

Re: 请问SQL injection 漏洞怎么“堵”

Posted: 2008-03-18 17:55
by IOsetting
这里没有任何特殊设置哦, 而且php.ini也不是我管理, 所以, 你得问一下php配置方面的大大...

Re: 请问SQL injection 漏洞怎么“堵”

Posted: 2008-03-19 10:18
by 小米啊
恩,谢了!

Re: 请问SQL injection 漏洞怎么“堵”

Posted: 2008-09-25 13:38
by 一帘幽梦
不错,学习了。。。。。。第一页网络科技有限公司 支持下。。。。。。