l'area di amministrazione del mio sito Web è vulnerabile a SQL injection. Ho provato a usare havji e ha hackerato con successo al database. Ma come è possibile? senza accesso è entrato nel pannello di amministrazione. mysql_real_escape_string non è usato nel pannello di amministrazione.AS è usato solo da me.
Per quanto ne so io, perché non stai usando php exit; la funzione
potresti usare questo
session_start();
if (!isset($_SESSION['username'])) {
header('Location: index.php');
}
mysql and other php code here without filtering
ma devi usare
session_start();
if (!isset($_SESSION['username'])) {
header('Location: index');
exit;
}
mysql e altro codice php qui senza filtro
Ora qualsiasi software o scanner di vulnerabilità non sarà in grado di verificare che tu abbia una scappatoia per l'iniezione sql. Poiché la funzione di uscita non consente l'esecuzione di altri codici dopo se stessa. Il filtraggio del lato client è ancora necessario. Potresti anche usare la funzione die.
Leggi altre domande sui tag php sql-injection mysql