0

所以我有一个网站(没有开发它),你有这样的网址:

http://mysite.com/profile-user/profile/nameOfUser

这是一个使用 Zend 开发的站点,我已经不喜欢 url 配置,我认为它很冗长,但这不是真正的问题。

如果我这样做:

http://mysite.com/profile-user/profile/'

在用户名中添加单引号,我收到一堆 zend 错误消息:

Exception information:

        Message: Mysqli prepare error: You have an error in your SQL syntax;
     check the manual that corresponds to your MySQL server version for the
 right syntax to use near '''') LIMIT 1' at line 1
        Stack trace:

然后跟随堆栈跟踪

然后

Request Parameters:

    array (
      'profil' => '\'',
      'module' => 'default',
      'controller' => 'journalentrepreneur',
      'action' => 'index',
      'tab' => 'profil',
    )  

那应该是什么意思?

谢谢

4

1 回答 1

2

这意味着该站点的 URL 导致查询被直接发送到 MySQL 数据库,从安全的角度来看,这充其量是危险的!如果您不确定我指的是什么,请查看 SQL 注入。

看起来不像 Zend 框架,你需要看网站本身的编码——URL 结构是如何构建的?

您对站点的配置没有说太多,但假设它在 Apache 服务器上,请查看重写规则和它所引用的 PHP 文件 - 您需要在此处包含一些示例代码以使我们能够为您提供更多帮助。无论哪种方式,您都需要在完成之前做一些工作以正确保护网站,所以要小心!

于 2012-11-13T13:40:29.040 回答