咋开发的项目 随便用个orm框架 都有预处理功能吧 SQL和参数分开发送到DB 压根没有注入的空间了
这玩意是php,没有过滤
php随便弄个orm 框架,注入就废了
php 是最好的语言 肯定是开发者水平不行
会有POC验证内容吗?
可以在代码处加过滤或者在php.ini中将GPC选项打开,可以自动将特殊符号进行转义这样基本上能解决掉很多SQL注入的问题,当时进行预处理是最好的解决方案
From security to 开发调优