我正在测试朋友网站的安全性,我通过将'放在网址末尾找到了SQL注入漏洞
该网站建立在zend框架中
我遇到的问题是MySQL --中的注释语法不起作用,因此页面仍然抛出错误
Exception: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1--) ORDER BY companies.company_name ASC' at line 8
in /home/xxxxxxx/xxxxxxxxxx/lib/Zend/Db/Adapter/Abstract.php on line 157
如果查找错误,查询不会在--
即使#和--+-无效
答案 0 :(得分:1)
通过放置'在URL的末尾,网站抛出错误并不总是意味着它对SQLi很容易受到攻击。