在我知道如何保护上传图像
Bypassing forms input fields to upload unwanted files后,我想提供另一个来自2提交的例子,其中一个是隐藏的.
SQL表(id,name,jod,number)
CREATE TABLE `users` (
`id` bigint(20) unsigned NOT NULL auto_increment,
`name` varchar(255) default '0',
`job` varchar(255) default NULL,
`number` varchar(255) default NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
表格代码(支持会员将编辑自己的信息)
后来有一个Firefox扩展,可以绕过不同的输入到服务器端绕过检查,并可能因此这里区分大量的伤害可以停止的全过程,使你能够隐藏表格序号的值修改任何如价值=“1”导致成员的更新信息具有该值1.
该扩展程序如下工作,它可以在传输到服务器端之前伪造输入数据.
PHP代码Send.php
if(isset($_POST['send'])){
$name = mysql_real_escape_string($_POST[name]);
$job = mysql_real_escape_string($_POST[job]);
$number = mysql_real_escape_string($_POST[number]);
$sql= "update users SET name='$name',job='$job' WHERE number='$number'";
mysql_query($sql) or die("query failed: $sql".mysql_error());
echo "Update Done";
} else {
echo "Nothing to update";
}
这个问题
然后如何从这种输入形式保护这个简单的形式? 〜谢谢
这个问题真的很痛,因为它让我的网站免费被黑了:)