我正在使用zaproxy工具自动测试应用
我收到SQL injection may be possible问题:
点击标题" ZAP-Story 11Th Feb-01 AND 1=1 --"
我正在使用yii。请帮我解决这个问题。
答案 0 :(得分:1)
在没有源代码的情况下很难查询您的查询,但仍然可以尝试:
尝试在查询中传递的绑定参数,而不是直接传入它。 例如:
$ query = UserMaster :: model() - > findAll(' email =:email',array(':email' =>" rk @ gmail.com&#34));
此处电子邮件ID绑定在一个数组中,这将在很大程度上阻止sql注入。