遇到一个简单漏洞(sql注入)
来源:互联网 发布:mac 139邮彩云同步盘 编辑:程序博客网 时间:2024/05/15 21:48
最近项目遇到一个问题,是关于sql注意的问题,一个同事,写sql是拼写的,我们有低层的pdo没有用,结果造 成了注入,代码如下:
/* *$sql = "update <DB.TABLE> set is_activated=1,client_id='',encrypt_pwd='',user_nick='{$nickname}',update_time={$update_time} where sdid = {$uid} ";$result = LibPDOEx::getPDO('user')->exec_with_prepare($sql, null);*/$set = array('is_activated' => 1, 'client_id' => '', 'encrypt_pwd' => '', 'user_nick' => $nickname, 'update_time' => $update_time);$where = " sdid={$uid} ";$result = LibPDOEx::getPDO('user')->update($set,$where);
这里nickname变量,没有处理,如果输入了7865'; --这样 -- 在mysql中,会自动忽略后面的语法,结果就成了 无条件的更新,所有的user_nick都一样了.
下次要多注意安全问题了!
- 遇到一个简单漏洞(sql注入)
- 简单三步走堵死SQL Server注入漏洞
- 简单分析什么是SQL注入漏洞
- 简单三步走堵死SQL Server注入漏洞
- 防止SQL注入漏洞简单方法
- 简单分析什么是SqL注入漏洞
- 简单分析什么是SQL注入漏洞
- 简单分析什么是SQL注入漏洞
- 一个典型的sql注入漏洞
- 一个简单的SQL注入
- Sql 注入漏洞,注意
- SQL注入漏洞
- sql注入漏洞原理
- SQL 注入漏洞新动向
- SQL注入漏洞接触
- SQL注入漏洞
- 防范SQL注入漏洞
- Sql 注入漏洞
- netstat
- 解决Excel数据导入sqlite中的中文乱码问题
- prim算法
- java.lang.OutOfMemoryError
- Hibernate中使用HQL的基础语法
- 遇到一个简单漏洞(sql注入)
- ubuntu 查找历史命令
- xcode的other linker flag的含义
- iOS 开发之应用首次启动显示用户引导
- hibernate Restrictions用法
- vim简单配置
- no such partition grub rescue的解决方案
- 黑马程序员-java 银行业务调度系统
- Java 注解学习