谷歌搜索 PHP 教程一半以上含有 SQL 注入

在 Google 上搜索 php mysql 电子注册程序,搜索引擎返回了教程、操作方法及代码片段,然而其中绝大部分结果还存在有缺陷的数据库声明,例如下面这个有问题的:

// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");

下面的列出的返回结果是按照谷歌搜索的推荐顺序来的,其中剔除了一些无关文章跟付费专区内容。存在的问题有:

  • SQL 查询的所有参数被分类转义
  • 仅在绝对必要的情况下才转义传入的数据
  • 作者尝试了一些转义,但发现漏洞
  • 没有任何转义逻辑
    在这里插入图片描述
    在这里插入图片描述

笔者只是快速浏览了一下,就发现 30 个搜索结果中有 16 个含有 SQL 注入漏洞,而不少都是来自 SEO 优惠的胡编乱造。如果搜索者将这些代码包含在其编写的程序中,那么最后产生的程序将是不安全的。类似的安全问题已经存在多年。

参考链接:https://waritschlager.de/sqlinjections-in-google-results.html

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:blogdevteam 返回首页

打赏作者

极客日报

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值