L'area di amministrazione nel mio sito Web php è vulnerabile a SQL injection senza accesso [chiuso]

-2

l'area di amministrazione del mio sito Web è vulnerabile a SQL injection. Ho provato a usare havji e ha hackerato con successo al database. Ma come è possibile? senza accesso è entrato nel pannello di amministrazione. mysql_real_escape_string non è usato nel pannello di amministrazione.AS è usato solo da me.

    
posta 09.03.2013 - 10:28
fonte

1 risposta

0

Per quanto ne so io, perché non stai usando php exit; la funzione

potresti usare questo

session_start();
if (!isset($_SESSION['username'])) {
        header('Location: index.php');

}
 mysql and other php code here without filtering

ma devi usare

  session_start();
if (!isset($_SESSION['username'])) {
        header('Location: index');

        exit;
}

mysql e altro codice php qui senza filtro

Ora qualsiasi software o scanner di vulnerabilità non sarà in grado di verificare che tu abbia una scappatoia per l'iniezione sql. Poiché la funzione di uscita non consente l'esecuzione di altri codici dopo se stessa. Il filtraggio del lato client è ancora necessario. Potresti anche usare la funzione die.

    
risposta data 09.03.2013 - 10:36
fonte

Leggi altre domande sui tag