公司客户的一个站点在网络安全检测报告指出存在两个漏洞,SQL 注入和 XSS。
该站点代码由原生 PHP 代码编写,在获取 GET id 参数时未作校验,直接参与 SQL 语句的查询。
在获取 GET 参数处进行格式校验,转为 int 类型数据
$id = (int)$_GET['id'];
$id = intval($_GET['id']);了解 王坤的博客 的更多信息
订阅后即可通过电子邮件收到最新文章。
作者:kenney wang
暂无评论
公司客户的一个站点在网络安全检测报告指出存在两个漏洞,SQL 注入和 XSS。
该站点代码由原生 PHP 代码编写,在获取 GET id 参数时未作校验,直接参与 SQL 语句的查询。
在获取 GET 参数处进行格式校验,转为 int 类型数据
$id = (int)$_GET['id'];
$id = intval($_GET['id']);订阅后即可通过电子邮件收到最新文章。