![其他记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”-聚优部落](https://oss.juyoubuluo.com/uploads/images/20230304/6bd9325bcc7225a7061d16fd94efa571.png "其他记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”-聚优部落")
![其他记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”](https://jy.tp.yuanmeng.life/uploads/images/20210323/77ddd5f9dd669e0451b8c66a97a0020a.jpg "其他记录一次因“大意书写”而导致的“[高危]SQL注入漏洞(盲注)”")
一天,客户联系我说某扫描组织对齐网站停止安全评估扫描后报告高危毛病了,要求资助!截图如下:
要来客户网站信息,停止排查。发明是我之前给写过的一个插件。代码布局不复杂。翻开插件PHP截图如下:
注意红色箭头,发明啥了?这个变量传递,我竟然没转换范例,没过滤?当时必定是大意或者脑残了。。。
好吧修复如下:
也就是强制把ID转换为数字型,这样就可以够仿制SQL注入语句的执止提交了!
其实程序老脚会说我这类错误很低级,是的,确实很低级。这次确实也是大意了,宣布这个文章目的,只是记录反省这个事情,给新脚一些参考,究竟这些小细节很轻易被忽略。也希望程序猿们规范书写各个变量传递前的过滤。这个注入毛病真的很吓人!
转载请注明: 帝国模板 » 记录一次因“大意书写”而导致的“[高危]SQL注入毛病(盲注)”
*
回帖描述:*
链接类型:*
下载链接:
验证通过自动获取下载链接
*
描述:*
回帖描述:*
链接类型:*
阅读权限:*
下载链接:
微信客服
QQ客服
QQ群
![[php框架] Smarty基础商品教程 Smarty入门教程 Smarty框架教程 共10课](https://jy.tp.yuanmeng.life/uploads/images/20210319/f47dc487eb949895833cd962fddc6a8b.jpg)
