PHP中的查询字符串login.destroy.session有什么作用吗?
每次我看到有人试图利用我的一个web应用程序进行攻击,我都想知道这是一种什么样的攻击,只是为了了解它是如何工作的 在本例中,我看到有人试图使用查询字符串PHP中的查询字符串login.destroy.session有什么作用吗?,php,query-string,exploit,Php,Query String,Exploit,每次我看到有人试图利用我的一个web应用程序进行攻击,我都想知道这是一种什么样的攻击,只是为了了解它是如何工作的 在本例中,我看到有人试图使用查询字符串?q=login.destroy.session&r=0.12365442。我尝试过谷歌搜索,但我遇到的都是关于如何使用会话来控制登录的教程,或者是显示其他网站以这种方式访问的日志 有人知道这到底是怎么回事吗?它是特定于框架的还是适用于任何PHP版本?您所想到的“漏洞”必然与它被插入URL的事实无关 有很多方法可以将恶意代码“注入”到网站中。主要
?q=login.destroy.session&r=0.12365442有人知道这到底是怎么回事吗?它是特定于框架的还是适用于任何PHP版本?您所想到的“漏洞”必然与它被插入URL的事实无关 有很多方法可以将恶意代码“注入”到网站中。主要的方法是通过GET和POST参数,通过用户输入或API端点 概念很简单,如果数据来自客户端(即,不是硬编码的或能够更改的),那么它是不可信的 这种类型的攻击只是测试当他们放置应用程序不希望看到它如何处理的东西时会发生什么
这就是为什么你从不相信数据的主要原因,如果你的偏执狂像我一样,也永远不要相信你自己的数据,即使它是硬编码的。确保在SQL查询之前,您正在从中剥离任何恶意代码,无论是使用
mysqli::real\u escape\u stringPDO::Prepare$\u GET['q']PDO::Prepare