问题描述
|
我被要求处理另一个程序员设置的站点的安全问题。到目前为止,我还没有看到任何代码,因此我现在不做任何假设,而是希望涵盖基础知识。该站点的托管组进行了安全检查,发现他们的代码容易受到sql注入的攻击。
示例:www.example.com/code.PHP?pid=2&ID=35(GET参数ID容易受到sql注入的攻击)
现在,因为我是新手,所以我已经解释说我可以通过主机解决问题,但是仍然需要由对安全性有更深入了解的人员来查看其站点。
因此,为了照顾潜在的sql注入(并且无需查看代码),我将使用MysqL_real_escape_string:
$query = sprintf(\"SELECT * FROM table WHERE pid=\'%s\' AND ID=\'%s\'\",MysqL_real_escape_string($pid),MysqL_real_escape_string($id));
解决方法
如果可以,请跳过旧的
mysql_*
$pdo = new PDO(\'mysql:host=localhost;dbname=whatever\',$username,$password);
$statement = $pdo->prepare(\'SELECT * FROM table WHERE pid=:pid AND ID=:id\');
$statement->bindParam(\':pid\',$_GET[\'pid\']);
$statement->bindParam(\':id\',$_GET[\'id\']);
$results = $statement->execute();
var_dump($results->fetchAll());
$pid = (int) $pid;
$id = (int) $id;