利用我的扫描工具简简单单找到小白项目的漏洞



sql注入漏洞,简简单单找到了,加个过滤即可解决

3 Likes

咋开发的项目 随便用个orm框架 都有预处理功能吧 SQL和参数分开发送到DB 压根没有注入的空间了

2 Likes

这玩意是php,没有过滤

1 Like

php随便弄个orm 框架,注入就废了

1 Like

php 是最好的语言 :smiling_face_with_three_hearts: 肯定是开发者水平不行

28 Likes

会有POC验证内容吗?

可以在代码处加过滤或者在php.ini中将GPC选项打开,可以自动将特殊符号进行转义这样基本上能解决掉很多SQL注入的问题,当时进行预处理是最好的解决方案

From security to 开发调优