0

我们的 Sitelock 网站安全已经在我们的网站上发现了一些容易受到攻击的页面。它显示了描述“注入点:GET;注入参数:id;注入类型:数字”我认为提到的代码是

$sa1=DBSelect("select * from tbl where id='".$_REQUEST['sid']."'");

我们该如何解决?任何想法?

4

1 回答 1

0

首先,您不应该使用$_REQUEST它读取$_GET的 ,$_POST$_COOKIEvariables 并在所有这些中查找值。

其次,您没有验证用户输入以检查它是否安全。如果一个 ID 是一个整数,你至少应该做这样的事情。

$sid = (int) $_GET['sid'];
$sa1=DBSelect("select * from tbl where id='" . $sid . "'");
于 2013-06-03T05:42:10.347 回答