在工作中,我们正在构建一个仅基于PHP + MySQL的微型CMS。即使我们尝试清理每个用户输入数据并测试每个功能/方法,我们也会犯错误。例如,如果我们使用函数清理字符串,请说:
MisNodes$URL[d.index]让我们想象我直接打电话
$name_surname = sanitize_str($_POST["nameSurname"], "text", 50, null, "utf8");
function sanitize_str($input, $data_type, $length, $range=null, $encoding, ...){
.... // do things.
try(){
...
}catch($e){
...
}
return $sanitized_string
}
我对SQL注入完全开放。是否有一些自动化工具将采用给定的URL并进行测试以寻找漏洞?例如,检测测试URL中的表单,自动填充表单,提交并查找是否生成了MySQL错误。