PHP盲SQL注入；x-for"；标题_Php_Sql_Sql Injection - Fatal编程技术网

PHP盲SQL注入；x-for"；标题

php sql

PHP盲SQL注入；x-for"；标题,php,sql,sql-injection,Php,Sql,Sql Injection,今天我用acunetix检查了我的脚本，在我的一个文件中发现了一个“盲SQL注入” Accunetix消息：攻击细节 HTTP头输入x-forwarded-for设置为1'且睡眠（2）=' 如何修复此漏洞：脚本应该从用户输入中过滤元字符。有关修复此漏洞的详细信息，请查看详细信息我已经用mysql\u real\u escape\u string（）func转义了所有输入，但仍然存在错误我尝试使用以下代码筛选文件中的此标头： if(isset($_SERVER['HTTP_X_FORWA

今天我用acunetix检查了我的脚本，在我的一个文件中发现了一个“盲SQL注入”

Accunetix消息：

攻击细节

HTTP头输入x-forwarded-for设置为1'且睡眠（2）='

如何修复此漏洞：

脚本应该从用户输入中过滤元字符。有关修复此漏洞的详细信息，请查看详细信息

我已经用mysql\u real\u escape\u string（）func转义了所有输入，但仍然存在错误

我尝试使用以下代码筛选文件中的此标头：

if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
    mysql_real_escape_string(addslashes(($_SERVER['HTTP_X_FORWARDED_FOR'])));

但是不起作用。请帮忙

最好使用PDO准备的语句来阻止SQL注入，而不是尝试创建自己的“脚本”，仅仅转义字符不足以阻止SQL注入

请在此处查看PDO准备的声明：

很可能您的应用程序使用了某种有缺陷的函数“来确定访问者的IP地址。”

撇开为使用

HTTP\u X\u FORWARDED\u进行此操作是错误的这一事实不谈，这很可能解释了为什么您笨拙的转义不起作用
系统似乎在转义之前在某个变量中获取了一个IP地址。然后，当您转义无害的XFF时，这个变量进入查询
下面是真正的解释，为什么你应该使用预先准备好的语句：因为它们的格式完全正确，正好在它应该在的地方。不会因为过早转义而出错。
可能重复




[sql]相关文章推荐



                                                        
sql server分组依据、计数、计算
sqlsql-servertsql 
如何在SQL子选择中使用order by？
sqloracleoracle10g 
Sql delphi中另一组的列总和（按列）
sqldelphi 
没有那么丰富。我使用的是Sql Server 2008 R2它没有给出所需的输出。它没有给出select语句中测试的任何结果。它没有给出所需的输出。它没有给出select语句中测试的任何结果。它没有给出所需的输出。它没有给出select语句中测试的任何结果
sqlsql-serverregexsql-server-2008 
如何仅允许VARCHAR2列中的字母（Oracle SQL）
sqlregexoracle 
查找具有以相同的最后四位数字结尾的值的重复列-SQL
sqloracle 
SQL与Mongo等价查询
sqlsql-servermongodbdatabase 
Sql 基于变量的筛选器，如果变量中没有值，则不应用筛选器
sqlplsqloracle11g 
Sql 在DB2中将查询合并到一个显示行中
sqldb2 
Sql 在Pivot上将十进制转换为字符串
sqlsql-servertsql 
SQL窗口函数筛选
sqlpostgresql 
SQLite中的长十进制数
sqlsqlite 
PL/SQL中的引用数据透视游标
sqloracleplsql 
如何找到SQL语法错误？
sql 
Sql 当找不到行时，SET@Var=SELECT（…）会产生什么结果？
sqlsql-server 
Sql scala中的动态where条件生成
sqlscalaapache-spark 
Sql 计算路径数
sqlpostgresql 
Sql 如何使用光标通过连接写入select
sqlsql-servertsql 
SQL查询以查找买家的日期'；这是第二个卖家的第一个订单
sqlamazon-redshift 
缺少关键字Oracle SQL
sqloracle 
                                       





随机文章推荐



                                                        
Reactjs 部署React-Native:canned'；无法获取本机呼叫队列：网桥配置为'；没有。这不应该是'；不可能。祝贺
reactjsreact-native 
Reactjs 状态和道具是可变的吗？
reactjs 
Reactjs 材质UI网格列表项间距
reactjsmaterial-ui 
Reactjs 为什么我的CreateReact应用程序显示的是README.md，而不是index.html？
reactjsredux 
Reactjs 似乎它忽略了阿波罗graphql中的更新突变？
reactjsgraphql 
Reactjs 反应本机搜索栏位置
reactjsreact-native 
Reactjs 如果使用iPhoneX，请添加其他样式
reactjsreact-native 
Reactjs 如何根据选择的下拉数据筛选反应表？
reactjs 
Reactjs li元素上的React燕子onClick事件
reactjs 
Reactjs 将JS文件导入下一个JS-获取引用错误
reactjsnext.js 
Reactjs 如何在使用redux设置初始值时使用useState？
reactjsredux 
Reactjs 用于OAuth的Google.logInAsync函数在React Native中不执行任何操作
reactjsreact-nativeoauth-2.0 
Reactjs 下一个js中的多参数动态路由
reactjsnext.js 
Reactjs 如何在createContext中初始化useState for TypeScript的set函数？
reactjstypescript 
ReactJs中是否有捆绑的库，我们可以将其包含在任何网站中并利用ReactJs组件
reactjs 
Reactjs 在NextJS中预加载图像
reactjsnext.js 
Reactjs 覆盖antd组件样式/类名
reactjs 
Reactjs 盖茨比404佩奇抱怨谷歌地图
reactjsgatsby 
Reactjs 在mobx中更新状态时组件未重新呈现
reactjstypescript 
如何在ReactJS中将方法传递给功能组件
reactjs


                                        

                                        
                                        


                                                
                                                        [php]相关推荐
                                                        
Php Symfony：为某些类型的用户解除后端模块的安全。怎样
									Php
							 									Security
							 									Symfony1
							 
Php 如果（$#u POST['；id'；]已设置）{…}如果（$#u GET['；id'；]已设置）{…}
									Php
							 									Post
							 
php中的Regexp：如何过滤动态字符串，如abc/123/。。。？
									Php
							 									Regex
							 
Php 如何验证按位值？
									Php
							 									Security
							 									Validation
							 									Binary
							 
Php Kohana引导错误
									Php
							 
Php 多条件if-elseif语句
									Php
							 									If Statement
							 
Php MySQL中的WHERE（）+；而且，PDO只返回一行
									Php
							 									Mysql
							 
Php 我在数据库中看不到我的下拉列表值
									Php
							 									Html
							 
简单PHP错误
									Php
							 
Php 可以在我的函数中循环html输出吗
									Php
							 									Html
							 									Function
							 
使用php将输入数据表单发布到json txt文件，值不带双引号
									Php
							 									Json
							 
Php 函数的作用是：不向所有用户发送电子邮件
									Php
							 									Email
							 
Php Joomla K2在复制模块中更改读取更多链接
									Php
							 
Php mysql如果第一个值“firstname”为null，则不显示表的其余部分
									Php
							 									Mysql
							 
Php 使用CodeIgniter从SQL数据库服务器提取数据
									Php
							 									Sql Server
							 									Codeigniter
							 
在php中解析json字符串
									Php
							 									Json
							 									Web Services
							 									Rest
							 
PHP文件上载：页面未显示，因为请求实体太大
									Php
							 									Iis
							 									File Upload
							 
Php 为移动站点构建可下载存储卡的最佳方法是什么？
									Php
							 									Mobile
							 
Php 为什么在symfony中使用ORM原则
									Php
							 									Symfony
							 									Doctrine
							 
Php 未定义的索引页（如果获取页）
									Php
							 									Indexing
							 
Php 正在尝试获取非对象ErrorException Laravel的属性
									Php
							 									Laravel
							 									Laravel 5
							 
Php 如何在laravel eloquent返回的数组中使用next（）或current（）？
									Php
							 									Laravel
							 
Php RESTAPI两个独立的资源来创建一个用户？
									Php
							 									Rest
							 
Php 给定行Git的函数名
									Php
							 									Git
							 									Function
							 
比较listview'；需要在下一页中使用mysql和android中的php显示相关列表项

我有一个带有图像和文本的列表视图，它是使用php作为脚本语言从mysql获取的，一旦我在任何项目上点击，与该项目相关的产品应该在下一页的listview中显示，如何在php和android中的mysql中执行，提前感谢*
									Php
							 									Android
							 									Sql
							 
Php 如何提取到日期范围之间的特定日期的数据
									Php
							 									Mysql
							 
Php 在服务器上禁用count（）警告
									Php
							 
Php 如何只运行一次查询而不是每次加载页面？
									Php
							 									Mysql
							 
我的php计算没有显示结果
									Php
							 
Php 移除子主题中父主题的钩子函数
									Php
							 									Wordpress
							 									Function
							 									Woocommerce
							 
                                                        
                                                

                                                
                                                        Tags
                                                        
Ruby On Rails
Google Maps
Actionscript 3
Recursion
Dojo
Shell
Pointers
Deployment
Redirect
Streaming
Google Chrome Devtools
Clearcase
Arrays
Triggers
Floating Point
Gruntjs
Session
Apache
Push Notification
Replace
Select
Apache Storm
Osgi
Amp Html
Random
Dataframe
Webpack
C# 4.0
Vbscript
Selenium Webdriver
Ftp
Amazon Web Services
Erlang
Apache Flex
Wordpress
System Verilog
Postman
Angular
Visual C++
Sublimetext2
Codeigniter
Logstash
Asp.net Core Mvc
Playframework
Opengl
Amazon Cloudformation
Lucene
Linq
Eclipse Rcp
Python 2.7
Datatables
Akka
Dictionary
Cygwin
Vaadin
Devexpress
Virtualbox
Silverlight 4.0
Azure Ad B2c
Svn
Sms
Configuration
Xaml
Hadoop
Swing
Flutter
Node.js
Binding
Jersey
Kendo Ui
Vuejs2
Cassandra
Google Cloud Platform
Glsl
Phpunit
Maps
Silverstripe
Solr
Mercurial
Bash
Windows Phone 7
Charts
Laravel 5
Uiview
Drupal 6
Nest
Kentico
Math
Keyboard
Gwt
Xml
Zsh
Microservices
Jqgrid
Encoding
Time
Google Cloud Storage
Routing
Powerbi
Matplotlib
Url Rewriting
Grid
Graphics
Cloud
Cryptography
Network Programming
Usb
Phpstorm
Z3
Web Crawler
Tkinter
Content Management System
Nlp
Character Encoding
Mod Rewrite
Single Sign On
Notepad++
Function
Lotus Notes
Input
Mongoose
Automation
Timer
Javascript
Ide
Gremlin
Sharepoint 2013
Entity Framework
Regex
Prometheus
Jsf 2
Workflow
Core Data
Mobile
Fluent Nhibernate
Visual Studio
Ember.js
Appium
File Io
Angular6
Eclipse Plugin
Robotframework
Uwp
Computer Science
Winapi
Magento
Ethereum
Mapping
Tree
Cmd
Django
Parameters
Neo4j
Google Plus
Image
Google Visualization
Directx
Applescript
Sprite Kit
Ruby
Common Lisp
Browser
Kubernetes
Enums
Graphql
Database Design
Service
Search
Serialization
Apache Pig
File Upload
Android Fragments
Apache Flink
Groovy
Teradata
Entity Framework 4
Stanford Nlp
Exception
Fullcalendar
Log4net
Jquery
Gstreamer
Gdb
Websocket
Azure Active Directory
Next.js
Azure Sql Database
Symfony
Emacs
Soap
Sql Server 2012
Domain Driven Design
Titanium
Nsis
Xquery
Raspberry Pi
Heroku
Asp.net Mvc 5
Passwords
Model View Controller
D


                

                        
						
                        
                                
                                        
                                                
                                                        
                                                                Copyright © 2024. All Rights Reserved by  - Fatal编程技术网