哭啊，刚上线的ci网站就被sql注入，怎么防止生气了注入啊？

mckee1990 · 发表于 2012-4-5 14:45:26

我现在加了mysql_real_escape_string()过滤和开启了magic_quotes_gpc=On 有用吗？

大侠们帮帮忙啊

一战成铭 · 发表于 2018-3-7 12:07:20

本帖最后由一战成铭于 2018-3-7 12:35 编辑

将"$_Post[]"改为$this->input->post('',TRUE);试一试，可能就是由于这步没写好被注入攻击，详情请见
https://codeigniter.org.cn/user_guide/libraries/input.html，http://codeigniter.org.cn/user_guide/database/query_builder.html
不知2012年的CodeIgniter核心代码是怎么样的，但请尽量使用CodeIgniter官方内置的函数
还有http://blog.csdn.net/u011721501/article/details/44787963，https://www.cnblogs.com/JeromeZ/p/7890977.html，http://www.cnblogs.com/JeromeZ/p/7890977.html

ci_fans1 · 发表于 2017-5-30 18:26:09

估计是报错，

mckee1990 · 发表于 2012-4-5 14:45:37

在线等候

jeongee · 发表于 2012-4-5 15:40:15

要注入的人生气了就不太好防止了哦

你没过滤数据么？没用CI的ar类？

visvoy · 发表于 2012-4-5 20:46:33

难道裸的用query?

孤月蓝风 · 发表于 2012-4-5 22:12:38

就用CI的AR类，似乎生气了注入就不太可能了吧？CI的安全性还是很不错的吧。。。

kissgxd · 发表于 2012-4-6 11:38:23

用AR吧

Hex · 发表于 2012-4-6 13:19:04

用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。

mckee1990 · 发表于 2012-4-12 19:17:59

Hex 发表于 2012-4-6 13:19
用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。 ...

$name = mysql_real_escape_string($_POST['back_name']);
$idcard = mysql_real_escape_string($_POST['back_idcard']);
$content = mysql_real_escape_string($_POST['back_content']);
$time = time();
$info = array(
'back_name'=>$name,'back_idcard'=>$idcard,'back_content'=>$content,'back_time'=>$time
);
$this->db->insert('vol_pswback',$info)

mckee1990 · 发表于 2012-4-12 19:18:18

mckee1990 发表于 2012-4-12 19:17
$name = mysql_real_escape_string($_POST['back_name']);
$idcard = mysql_real_escape_string($_P ...

跪求hex啊我是新手

mckee1990 · 发表于 2012-4-12 19:25:55

Hex 发表于 2012-4-6 13:19
用 AR 肯定不会有 SQL 注入。
楼主具体说一下是如何发现的漏洞。
某些检测工具不可信。 ...

对方用declare。。。。。什么语句攻击的我按照论坛上的做法怎么还是不行啊

		自动登录	找回密码
密码			入住 CI 中国社区

哭啊，刚上线的ci网站就被sql注入，怎么防止生气了注入啊？

相关帖子