網站出問題了,有漏洞,今天來這裡請csdn的兄弟幫忙解決
我做了個保健品站 http://www.bjp51.net 這兩天有點問題,用360一掃,高危,只有49分,報告如下:
第一個是很嚴重的問題,今天想把第一個問題解決了。
看下360給出的意見
我不知道怎麼改,希望大家幫忙解決下。
------解決方案--------------------
$id='';
if(!empty($_POST['id'])){
for($i=0; $i $id=$id.($_POST['id'][$i].',');
}
$id=substr($id,0,strlen($id)-1);//去除最後面的","
}
$sql="select * from zzcms_main where id in ($id)"
他認為你未經檢查就在 sql 指令中使用了傳入的資料
------解決方案--------------------
SQL注入的原理是,從地址欄或者表單中注入
如果你從地址欄得到一個$_GET["a"],不經過過濾就直接使用到程式中,就會造成威脅。比如:
如果$_GET["a"]=1;那麼:
$sql = "SELECT * FROM AA WHERE id =$_GET["a"]";就是$sql = "SELECT * FROM AA WHERE id =1";
但如果別人通過地址欄自行修改,把$_GET["a"]的值改為1 or (and) XXX各類代碼,那這個查詢語句就變成
$sql = "SELECT * FROM AA WHERE id =1 or(and) xxx";
於是就中招了。
所以地址欄和表單得到的參數,一定要格式化,過濾好,指定是什麼類型,多長,限制哪些字元……
------解決方案--------------------
$sql="select * from zzcms_main where id in ($id)" ;
$id沒有進行過濾,用戶輸入什麼都可以,當然被注入了。
因為id只能是數字,所以可以用intval轉成數字,如果非數字會轉為0,這樣就注入不到了。
------解決方案--------------------
傳入的資料把單引號替換為兩個連續的單引號 , sql語句用傳入的參數時加上單引號。
$id = str_replace("'","''",$_POST['id']);
$sql = " select * from tb_user wher id='$id' ";
這樣就不怕注入了。
------解決方案--------------------
if(!empty($_POST['id'])) {
$id = join(',', array_map('intval', $_POST['id']));
}
最好把 $id 換個名字
