zend-framework - 在 url 中添加单引号

Question

所以我有一个网站（没有开发它），你有这样的网址：

http://mysite.com/profile-user/profile/nameOfUser

这是一个使用 Zend 开发的站点，我已经不喜欢 url 配置，我认为它很冗长，但这不是真正的问题。

如果我这样做：

http://mysite.com/profile-user/profile/'

在用户名中添加单引号，我收到一堆 zend 错误消息：

Exception information:

        Message: Mysqli prepare error: You have an error in your SQL syntax;
     check the manual that corresponds to your MySQL server version for the
 right syntax to use near '''') LIMIT 1' at line 1
        Stack trace:

然后跟随堆栈跟踪

然后

Request Parameters:

    array (
      'profil' => '\'',
      'module' => 'default',
      'controller' => 'journalentrepreneur',
      'action' => 'index',
      'tab' => 'profil',
    )

那应该是什么意思？

谢谢

score 2 · Accepted Answer

这意味着该站点的 URL 导致查询被直接发送到 MySQL 数据库，从安全的角度来看，这充其量是危险的！如果您不确定我指的是什么，请查看 SQL 注入。

看起来不像 Zend 框架，你需要看网站本身的编码——URL 结构是如何构建的？

您对站点的配置没有说太多，但假设它在 Apache 服务器上，请查看重写规则和它所引用的 PHP 文件 - 您需要在此处包含一些示例代码以使我们能够为您提供更多帮助。无论哪种方式，您都需要在完成之前做一些工作以正确保护网站，所以要小心！

zend-framework - 在 url 中添加单引号

1 回答 1

Related

Reference