所以我有一个网站(没有开发它),你有这样的网址:
http://mysite.com/profile-user/profile/nameOfUser
这是一个用Zend开发的网站,我已经不喜欢url配置了,我觉得它很冗长但不管怎么说这不是真正的问题。
如果我这样做:
http://mysite.com/profile-user/profile/'
在用户名中添加单引号,我收到一堆zend错误消息:
Exception information:
Message: Mysqli prepare error: You have an error in your SQL syntax;
check the manual that corresponds to your MySQL server version for the
right syntax to use near '''') LIMIT 1' at line 1
Stack trace:
然后跟随stacktrace
然后
Request Parameters:
array (
'profil' => '\'',
'module' => 'default',
'controller' => 'journalentrepreneur',
'action' => 'index',
'tab' => 'profil',
)
感谢
答案 0 :(得分:2)
这意味着网站的URL导致查询被直接发送到MySQL数据库,从安全的角度来看,这是最危险的!如果你不确定我指的是什么,请查找SQL注入。
看起来不是Zend框架,您需要查看网站本身的编码 - 如何构建URL结构?
你没有太多关于网站的配置,但假设它在Apache服务器上,请查看重写规则及其引用的PHP文件 - 您需要在此处包含一些示例代码让我们能够为您提供更多帮助。无论哪种方式,您都需要做一些工作才能在完成之前正确保护网站,所以要小心!