Fatal编程技术网
  • php/
  • Php Sql注入漏洞

Php Sql注入漏洞

php sql security

Php Sql注入漏洞,php,sql,security,sql-injection,Php,Sql,Security,Sql Injection,我不是什么hax0r之类的,但我的老板有一个网站,我告诉他它很容易受到sql注入攻击。然后他回答说,这并不危险,因为所有信息都是公开的;所以我告诉他有可能把桌子放下 通常DROP table命令是有效的,有人能告诉我为什么在这种情况下不行吗? 注意:此数据库仅存储新闻,不存储重要信息 news.php?id=-99%20union%20all%20select%201,2,3,4,5%20from%20information_schema.columns%20where%20table_sche

我不是什么hax0r之类的,但我的老板有一个网站,我告诉他它很容易受到sql注入攻击。然后他回答说,这并不危险,因为所有信息都是公开的;所以我告诉他有可能把桌子放下

通常DROP table命令是有效的,有人能告诉我为什么在这种情况下不行吗? 注意:此数据库仅存储新闻,不存储重要信息

news.php?id=-99%20union%20all%20select%201,2,3,4,5%20from%20information_schema.columns%20where%20table_schema=0x656e6469616d615--
请不要回复hax0r仇恨评论,如果我想知道如何破解,我会在irc频道,而不是这里

编辑: 如果他不受数据库编辑的影响,我想他是对的。
他可以公开sql查询,但这将破坏向他表明危险是真实存在的目的

如果您能够从SQL注入中检测列名称,这意味着它是可违反的

这也意味着你可以轻易地对网页进行暴力攻击,检测所有的结构、用户、导出数据等等。。。所以,是的,该网站是脆弱的,它比“我的数据是公开的,所以我不在乎”走得更远

黑客可以找到一种方法将数据插入数据库,创建一些网络钓鱼,从他插入数据库的XSS攻击中窃取数据。有很多理由认真对待这一点。SQL注入并不意味着黑客只能读取您的数据,它可能导致严重的危害…

如果您能够从SQL注入中检测列名称,则意味着它是可违反的

这也意味着你可以轻易地对网页进行暴力攻击,检测所有的结构、用户、导出数据等等。。。所以,是的,该网站是脆弱的,它比“我的数据是公开的,所以我不在乎”走得更远

黑客可以找到一种方法将数据插入数据库,创建一些网络钓鱼,从他插入数据库的XSS攻击中窃取数据。有很多理由认真对待这一点。SQL注入并不意味着黑客只能读取您的数据,它可能会导致严重的危害…

我认为任何信息泄露都是危险的-如果现在不解决这个问题,将来在数据库中放置更敏感的信息时会发生什么?如果以恶意方式修改现有数据怎么办

SQL注入很容易防范,如果您知道可能存在的漏洞,应该尽快修复,无论什么是敏感漏洞。就我的2c。

我认为任何信息泄露都是危险的-如果现在不解决这个问题,当/如果将更敏感的信息放在数据库上,将来会发生什么?如果以恶意方式修改现有数据怎么办

SQL注入很容易防范,如果您知道可能存在的漏洞,应该尽快修复,无论什么是敏感漏洞。如果SQL用户只能访问SELECT权限,那么就我的2c。

SQL注入不是问题。任何其他特权都可能是一种安全威胁(特别是DROP,但也包括INSERT或DELETE)

就我个人而言,我只会保护它不受SQL注入的影响,然后对SQL用户应用特权,限制执行攻击的能力,即使我的前线防御被破坏

即使数据不敏感,SQL注入也可能导致网络钓鱼攻击、欺诈和在易受攻击的网站上显示非法内容。不太好。

如果SQL用户只能访问SELECT权限,则SQL注入不是问题。任何其他特权都可能是一种安全威胁(特别是DROP,但也包括INSERT或DELETE)

就我个人而言,我只会保护它不受SQL注入的影响,然后对SQL用户应用特权,限制执行攻击的能力,即使我的前线防御被破坏

即使数据不敏感,SQL注入也可能导致网络钓鱼攻击、欺诈和在易受攻击的网站上显示非法内容。不太好。

你需要展示执行SQL的代码。我想我的老板不会把这当回事,因为这样网站才真正安全,preak将永远无法访问数据库查询格式。我找到了列名、表名和数据库名。我能告诉我的老板网站是安全的,可以防止信息违规吗?@KerrekSB-Yo dawg,我听说你喜欢网站,所以我在你的网站上放了一个网站,这样你就可以在网站上同时喜欢网站。真的,谢谢大家;)编辑第一个主题。如果安全的话,就告诉我。如果你错了,我会责怪你的,哈哈。事实上,我不能告诉他们我在stackOF有一个帐户,因为他知道主要的知识来自这里。我认为任何信息泄露都是危险的——如果现在不解决这个问题,将来当/如果将更敏感的信息放到数据库中会发生什么?SQL注入很容易防范,如果您知道可能存在的漏洞,应该尽快修复,无论什么是敏感漏洞。只有我的2c。你需要展示执行SQLI的代码。我想我的老板不会那么认真,因为这样网站才真正安全,preak将永远无法访问数据库查询格式。我找到了列名、表名和数据库名。我能告诉我的老板网站是安全的,可以防止信息违规吗?@KerrekSB-Yo dawg,我听说你喜欢网站,所以我在你的网站上放了一个网站,这样你就可以在网站上同时喜欢网站。真的,谢谢大家;)编辑第一个主题。如果安全的话,就告诉我。如果你错了,我会责怪你的,哈哈。事实上,我不能告诉他们我在stackOF有一个帐户,因为他知道主要的知识来自这里。我认为任何信息泄露都是危险的——如果现在不解决这个问题,将来当/如果将更敏感的信息放到数据库中会发生什么?SQL注入很容易防范,如果您知道可能存在的漏洞,应该修复该漏洞