我从测试公司测试了我的应用程序。 他们将MySQl注入漏洞的文件名和消息作为“任意提供的URL参数的名称”。 我不知道这意味着什么?
答案 0 :(得分:0)
这意味着您可能在不合适的情况下使用$_GET或$_REQUEST作为数据库条件。如果脚本只执行SELECT个查询,那么这不是问题(前提是代码可以抵御SQL注入攻击),但数据修改只能通过POST请求执行。
答案 1 :(得分:0)
我认为问题现在已经解决了,但这里有一些信息。
GET /contact?**1'**=1 HTTP/1.1
Host: www . mysite . com
以任意提供的URL参数的名义提交单引号,并返回一般错误消息。
发布补救
防止SQL注入攻击的最有效方法是对所有数据库访问使用参数化查询(也称为预准备语句)。