PHP sql注入漏洞修复(数字型)

最新推荐文章于 2024-01-02 14:42:25 发布
最新推荐文章于 2024-01-02 14:42:25 发布
阅读量181 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/xiaoCon/p/3155448.html
版权

昨天写了个小程序,发现了个注入的问题,今天翻了下Php手册,找到个函数解决该问题。

把过程写出来,方便自己记忆吧。仅贴出部分代码。。。

<?php

$user_id=$_GET['id'];
//echo $user_id;

if(isset($user_id)){
   $result=mysql_query("select * from web_sec where user_id=$user_id");
   while($row=mysql_fetch_object($result)){
       echo $row->['username'];
       echo $row->['target_name'];
       echo $row->['domain'];
       echo $row->['bug_number'];
   }   
}

?>

由于没有对输入进行过滤,导致SQL注入的产生。给它加了个函数,就好了。

<?php

$user_id=intval($_GET['id']);
//echo $user_id;

if(isset($user_id)){
   $result=mysql_query("select * from web_sec where user_id=$user_id");
   while($row=mysql_fetch_object($result)){
       echo $row->['username'];
       echo $row->['target_name'];
       echo $row->['domain'];
       echo $row->['bug_number'];
   }   
}

?>

 

转载于:https://www.cnblogs.com/xiaoCon/p/3155448.html

weixin_30318645
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字型SQL注入学习
weixin_38608231的博客
08-08 5188
以MYSQL为例子说明,SQL注入的形成原理是没有对用户输入的数据进行过滤和转义,使得用户的数据被SQL解释器执行。 数字型的注入特征是当输入的参数为整时,如:ID,年龄,页码等,若存在注入漏洞,则可认为是数字型注入。数字型的注入多存在ASP与PHP等弱类中。 一、有回显的SQL注入(报错注入) 1.判断是否存在注入点 判断是否存在注入点最常见的做法是利用单引号,即“ ' ”。因为当你...
代码注入漏洞以及修复方法
pygain的博客
10-12 1万+
PHP代码执行漏洞指应用程序本身过滤不严格,用户可以通过请求将代码注入到程序中执行,类似于SQL注入漏洞,可以把SQL语句通过网页注入到SQL服务执行,而PHP代码执行漏洞则是可以把代码注入应用到网站后端中,如果漏洞没有特殊的过滤,相当于直接有一个web后门存在,该漏洞主要由动态代码执行函数的参数过滤不严格导致。
PHP代码审计 -----sql注入漏洞
qq_62344745的博客
04-13 409
SQL注入 大概从08年 ------至今 几乎都是 top10大漏洞中的 第一个了随处可见的,现在可能少点了。我们首先要了解每一种数据库的语法、特性不同的数据库,都有自己的特性,
PHP网站常见一些安全漏洞及防御方法_php
最新发布
liuhyusb的博客
01-02 556
一、常见PHP网站安全漏洞对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞
PHP代码审计系列基础文章(一)之SQL注入漏洞
FreeBuf_的博客
11-14 1090
在审计SQL注入的时候,我们首先要找到对应的传参点,更要多关注代码中正常SQL语句的规则和过滤情况,最重要的是要闭合正常的SQL语句来,最终执行我们想要执行的SQL语句。
PHP sql注入漏洞修复(字符串)
weixin_30398227的博客
06-25 201
上一篇说了数字型的的SQL注入修复,这篇继续加个字符串修复方法吧。其实就是一个函数。 虽然没在真实场景遇到过,但是我觉得应该有效。 <?php $username=addslashes($_GET['username']); //echo $user_id; if(isset($user_id)){ $result=mysql_query("select *...
S-CMS PHP v30存在SQL注入漏洞1
08-03
综上所述,S-CMS PHP v3.0的SQL注入漏洞(CVE-2019-12860)是一个严重的安全问题,需要采取适当的措施进行修复和防护,以保护系统的数据安全。开发人员应重视此类漏洞,提高代码的安全性,防止类似问题的再次发生。...
SQL注入思路详解
12-14
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序在处理用户输入数据时的不足,使得攻击者能够构造恶意的SQL语句来控制或篡改数据库。本文将深入解析SQL注入的思路,帮助你理解和防范这种攻击。 首先,SQL...
SQL注入防范之配置安全数据库服务器.pdf
09-19
对于字符输入,可以使用`replace()`函数来移除或替换可能导致SQL注入的特殊字符。 5. **设置数据库用户权限**: 为每个数据库用户定义明确的权限边界,遵循最小权限原则。例如,只允许用户查询特定的表,不允许...
SQL注入技术原理及实战.pdf
10-14
SQL注入是一种严重的网络安全威胁,它利用了Web应用程序中对用户输入数据处理不当的漏洞。攻击者通过构造恶意的SQL语句,将它们插入到正常的查询字符串中,从而控制或操纵数据库,获取敏感信息,甚至完全破坏数据库...
如何修复php网站漏洞
网站漏洞修复专家
04-08 3776
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。 metinfo...
html sql注入_常见SQL注入的方法
weixin_39894233的博客
12-01 1490
WEB安全之SQL注入引言:在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。1、SQL注入步骤a)寻找注入点,构造特殊的语句传入SQL语句可控参数分为两类1. 数字类,参数不用被引号括起来,如?id=12. 其他类,参...
13sql注入修复
技术骨干小李的博客
07-27 2973
sql注入修复思路
php代码审计之sql注入漏洞
qq_41503511的博客
02-22 277
SQL注入漏洞普通的注入编码注入二次urldecode注入 普通的注入 最普通的sql注入漏洞直接使用union联合查询就可以直接查询漏洞 代码如下 #普通sql注入 <?php header('Content-type: text/html; charset=UTF8');#设置utf8编码 $uid=$_GET['id'];#获取用户输入参数 $sql="select * from userinfo where id=$uid";#查询语句 $conn=mysql_connect('127.0.0
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1606
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
简单的数字型sql注入漏洞
北冥有鱼
03-24 1700
1.判断是否存在注入点 以pikachu靶场上的数字型注入漏洞为例 可以看出,这是一个注入点,我们想要知道这个注入点有没有漏洞,可以先行根据经验与知识判断这个信息是在后台怎样运行的,是以什么样的方式存放的。 我们可以先自己预测一下这个参数代码的逻辑。 首先我们是在网页上提交了一个id返回到了后端,后端返回了一个名称和邮箱,正常情况下,所有用户的数据应该是存放在数据库里面的,所以当我们输入了一个1...
php常见漏洞修复,phpstudy漏洞修复方法
weixin_34542865的博客
03-10 1120
经常有人使用的phpstudy,有以下几个漏洞可能存在着被黑的风险,最好能及时修正。1.通过修改服务器环境内php.ini文件,将“expose_php = On”修改成“expose_php = Off”然后重启php即可。2.若无需要可以将一些php的危险函数禁用,打开/etc/php.ini文件,查找到 disable_functions,添加需禁用的以下函数名:phpinfo,eval,p...
通过DVWA学习SQL注入漏洞
热门推荐
Mi1k7ea
02-21 2万+
此篇文章作为本人的学习小笔记,有任何不足之处望各位大牛多多指教~ SQL注入漏洞作为OWASP TOP10中重要的一部分,可见其安全性的危害有多大。简单地说,SQL注入就是通过构建特殊的具有SQL语法的语句,绕到数据库中进而执行相应的操作的漏洞。关于SQL注入更多的描述就不再多说了,网上资料也很多,下面就直接上笔记。 基于报错的检测方法: 各种符号以及组合: ‘  “  (  %
sql注入漏洞修复方法
05-18
以下是几种常见的修复SQL注入漏洞的方法: 1. 使用参数化查询:参数化查询可以帮助过滤恶意输入,从而防止SQL注入攻击。使用参数化查询时,应用程序将SQL语句和参数分开发送给数据库,而不是将它们组合在一起。 2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值