小智 12
询问攻击者。他们联系了你(而不是保持沉默,只是出售信息),所以大概他们也想帮助你。
检查所有SQL 查询,查找丢失的输入转义等。请特别注意对用户表的查询,尤其是在执行SELECT *.
尽可能避免 SELECT * - 只需选择您需要的字段。
htmlentities 不能正确转义要插入到 SQL 查询中的数据。为此,您应该始终使用 mysql_real_escape_string。htmlentities 和 htmlspecialchars 用于在将数据发送到浏览器之前对其进行清理。
考虑使用准备好的语句,例如使用PDO。这将大大简化防止 SQL 注入的任务,因为根本不需要对数据进行转义。(在回显到浏览器之前你仍然需要 htmlentities,但 XSS 是一个不同的话题)。
| 归档时间: |
|
| 查看次数: |
201 次 |
| 最近记录: |