在我的索引中编写数据库连接细节 - 安全风险?

时间:2014-04-08 12:36:11

标签: php sql

我的网站被黑了,我的主人告诉我,有人通过我的网站发送大量垃圾邮件。 最近我做了这些修改: 1)我删除了include database_connection文件,并将其内容放在标题中的主页中,如下所示:

$connect=mysql_connect("localhost","mydb","pass") or die(mysql_error());
mysql_select_db("mydb", $connect) or die(mysql_error());

2)我加入了一个这样的搜索表单:

<form name="search_form" id="search_form" method="POST" action="">
<span>Search:</span> <input type="text" name="search_box" value="" />
<input type="submit" name="search" value="search the data" />
</form>
$sql="SELECT * FROM (SELECT * FROM table ORDER BY Name) table ";
    if (isset($_POST['search'])){

    $search_term=mysql_real_escape_string($_POST['search_box']);
    $sql .="WHERE Name LIKE '%{$search_term}%' ";
}
$query=mysql_query($sql) or die(mysql_error());

这两个修改可以让黑客入侵吗? 如果是,是否有可能感染了其他文件,或者我可以删除这些文件并且没问题? 谢谢!

编辑:我的主机提供商不得不多次暂停我的帐户,因为&#34;大量的数据&#34;是通过我的网站发送的。我必须找到原因..

0 个答案:

没有答案