用户
 找回密码
 入住 CI 中国社区
搜索
查看: 9330|回复: 13
收起左侧

哭啊,刚上线的ci网站就被sql注入,怎么防止生气了注入啊?

[复制链接]
发表于 2012-4-5 14:45:26 | 显示全部楼层 |阅读模式
我现在加了mysql_real_escape_string()过滤和开启了magic_quotes_gpc=On 有用吗?

大侠们帮帮忙啊
发表于 2018-3-7 12:07:20 | 显示全部楼层
本帖最后由 一战成铭 于 2018-3-7 12:35 编辑

将"$_Post[]"改为$this->input->post('',TRUE);试一试,可能就是由于这步没写好被注入攻击,详情请见
https://codeigniter.org.cn/user_guide/libraries/input.html,http://codeigniter.org.cn/user_guide/database/query_builder.html
不知2012年的CodeIgniter核心代码是怎么样的,但请尽量使用CodeIgniter官方内置的函数
还有http://blog.csdn.net/u011721501/article/details/44787963,https://www.cnblogs.com/JeromeZ/p/7890977.html,http://www.cnblogs.com/JeromeZ/p/7890977.html
发表于 2017-5-30 18:26:09 | 显示全部楼层
估计是报错,
 楼主| 发表于 2012-4-5 14:45:37 | 显示全部楼层
在线等候
发表于 2012-4-5 15:40:15 | 显示全部楼层
要注入的人生气了就不太好防止了哦
你没过滤数据么?没用CI的ar类?
发表于 2012-4-5 20:46:33 | 显示全部楼层
难道裸的用query?
发表于 2012-4-5 22:12:38 | 显示全部楼层
就用CI的AR类,似乎生气了注入就不太可能了吧?CI的安全性还是很不错的吧。。。
发表于 2012-4-6 11:38:23 | 显示全部楼层
用AR吧
发表于 2012-4-6 13:19:04 | 显示全部楼层
用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。
 楼主| 发表于 2012-4-12 19:17:59 | 显示全部楼层
Hex 发表于 2012-4-6 13:19
用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。 ...


                $name = mysql_real_escape_string($_POST['back_name']);
                $idcard = mysql_real_escape_string($_POST['back_idcard']);
                $content = mysql_real_escape_string($_POST['back_content']);
                $time = time();
                $info = array(
                        'back_name'=>$name,'back_idcard'=>$idcard,'back_content'=>$content,'back_time'=>$time
                );
                $this->db->insert('vol_pswback',$info)
 楼主| 发表于 2012-4-12 19:18:18 | 显示全部楼层
mckee1990 发表于 2012-4-12 19:17
$name = mysql_real_escape_string($_POST['back_name']);
                $idcard = mysql_real_escape_string($_P ...

跪求hex啊  我是新手
 楼主| 发表于 2012-4-12 19:25:55 | 显示全部楼层
Hex 发表于 2012-4-6 13:19
用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。 ...

对方用declare。。。。。什么语句攻击的  我按照论坛上的做法   怎么还是不行啊

本版积分规则