周四晚上进行了一场网站的简单SQL注入,以下记录了我对我做的简单网站的漏洞总结,还有简单的mysql语句学习
漏洞总结
1.没有删掉phpMyAdmin文件
可直接访问进去
进去后 一般的密码都是root root。 所以就可以看到你的数据表
从而可以找到你的数据表 然后找到用户名密码 就可以进去了。
这是我在网上搜到的关于文件里的详细作用参考网址
在phpstudy www目录下默认会有这么几个文件。(mysql 默认的用户名和密码是root/root,只允许本机访问)
这几个文件是方便开发者进行调试,管理所用的。理应在发布到外网的时候进行删除或者限制访问。
想要避免这样的问题的话 可以将www目录下的几个文件与及phpmyadmin删掉
如果说你需要用phpmyadmin,不想删,那么就配置下apache或者nginx。(以apache为例,在httpd.conf配置文件中加上如下面的代码)
#phpmyadmin
<Directory "D:/phpStudy/WWW/phpMyAdmin"> #这里是你的phpmyadmin的绝对目录
order deny,allow
Deny from all
Allow from 127.0.0.1 #这里是你想要允许访问的IP
</Directory>
2.没有过滤特殊符号
3.cookie设置的过于简单