Javascript 这个用户试图入侵的是什么，可能吗？_Javascript_Php_Xss

Javascript 这个用户试图入侵的是什么，可能吗？

javascript php

Javascript 这个用户试图入侵的是什么，可能吗？,javascript,php,xss,Javascript,Php,Xss,我今天随机访问了我的网站，碰巧注意到： String.fromCharCode(67, 79, 78, 67, 65, 84, 95, 87, 83, 40, 67, 72, 65, 82, 40, 51, 50, 44, 53, 56, 44, 51, 50, 41, 44, 117, 115, 101, 114, 40, 41, 44, 100, 97, 116, 97, 98, 97, 115, 101, 40, 41, 44, 118, 101, 114, 115, 105, 111,

我今天随机访问了我的网站，碰巧注意到：

String.fromCharCode(67, 79, 78, 67, 65, 84, 95, 87, 83, 40, 67, 72, 65, 82, 40, 51, 50, 44, 53, 56, 44, 51, 50, 41, 44, 117, 115, 101, 114, 40, 41, 44, 100, 97, 116, 97, 98, 97, 115, 101, 40, 41, 44, 118, 101, 114, 115, 105, 111, 110, 40, 41, 41)

有人试图输入字符串。困惑的我查了一下，发现我能翻译

CONCAT_WS(CHAR(32,58,32),user(),database(),version())

这些信息揭示了什么？你能从javascript进入数据库吗？

借助Zachrip和Marc B的评论：

他想给你注射SQL。Javascript本身无法触摸您的数据库，但转换后的字符串可以做一些事情（它会使用这些函数连接字符串）。-扎克里普

这是一次sql注入攻击尝试。它会透露你的生活细节 DB和用于连接到它的帐户。e、 g.

根目录：mysql:5.5.56
马克B
（由用户火箭危险品指出，CHAR（32,58,32）
翻译为：'
）
对于您的关注（非常好的关注）：
这本身不会让入侵者进入你的数据库。这将为攻击者提供-可能/可能-有价值的信息。有了更多的信息，就有更多的窗口可以被利用。
我认为重要的是要认识到，无论你的网站多么安全，它都可能受到攻击。这就是为什么我们让事情变得安全，对吗？第一条规则是不要惊慌
就因为有人在搜索http://example.com/q=alert（'xss'）
并不意味着您易受跨站点脚本攻击。他们正在检查你是否在
仅仅因为有人试图使他们的用户名”或1=1--
，并不意味着你有SQL注入漏洞
输入此文本的人员/机器人正在探测您是否易受SQL注入攻击CONCAT_WS（CHAR（32,58,32），user（），database（），version（））
只是一个盲目SQL注入的尝试，看看他们是否可以插入一些东西并让数据库返回数据。这些信息并不是特别有价值，但事实上，他们可以得到它。接下来要做的事情是根据他们的动机修改或转储数据库（甚至可能只是告诉你漏洞）
我们无法仅从所提供的信息来判断您是否容易受到任何攻击。只是有人试图探测你的网站的漏洞，这种情况经常发生在很多很多人身上
因此，基本上，用户是在测试您是否易受攻击（不一定是恶意的），但我们无法告诉您您的系统是否对此脆弱。这将取决于你如何处理这个字符串
 他想给你注射SQL。Javascript本身不能接触数据库，但转换后的字符串可以做一些事情（它可以使用这些函数连接字符串）。如果有一个带有驱动程序的Javascript库，并且数据库服务器不拒绝远程连接，当然，可以从Javascript进入数据库。但我从未听说过javascript数据库库。这是一种sql注入攻击尝试。它将显示有关您的数据库以及用于连接数据库的帐户的详细信息。e、 g.root:mysql:5.5.56
FYI:CHAR（32,58,32）
翻译成：“
。你能解释一下你在哪里注意到了这段代码吗？我不是那个否决你的人，但是为了让“CONCAT_WS（CHAR（32,58,32），user（），database（），version（）”）运行，他们不需要将它插入数据库吗？Javascript如何能够返回这样的查询？@RichardSedanna它不会。但是有很多方法（我不再更新了，很抱歉：（）使用JS进行SQL注入，我很确定这是可能的。而且不用担心否决票，谢谢：）