PHP:网站遭到奇怪的黑客攻击
我目前正在为一个数据库课程项目开发一个PHP/HTML web界面 基本上,有一个输入字段:PHP:网站遭到奇怪的黑客攻击,php,html,security,code-injection,Php,Html,Security,Code Injection,我目前正在为一个数据库课程项目开发一个PHP/HTML web界面 基本上,有一个输入字段: 使用和。通过连接输入停止创建查询 并停止使用mysql_*函数集。马上每次您在php源文件中键入它,$Dedity就会杀死一只小猫。请停止这场屠杀。除了使用real\u escape\u string功能(使用mysqli或PDO),我还将更改FTP密码以及数据库用户和密码 您输入的白名单,比如说,如果只允许使用字符串,请使用is_string()验证它。尝试使用htmlpurifier验证用户输入。
使用和。通过连接输入停止创建查询
并停止使用mysql_*函数集。马上每次您在php源文件中键入它,$Dedity就会杀死一只小猫。请停止这场屠杀。除了使用real\u escape\u string
功能(使用mysqli或PDO),我还将更改FTP密码以及数据库用户和密码 您输入的白名单,比如说,如果只允许使用字符串,请使用is_string()验证它。尝试使用htmlpurifier验证用户输入。
<div id="searchbox">
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="POST">
Query database : <input type="text" id="field" name="query">
<input type="submit" name="submit" value="Search!">
</form>
</div>
if(isset($_POST['query']) && !empty($_POST['query'])) {
$param = htmlspecialchars($_POST['query'], ENT_QUOTES);
...
SELECT p.idParticipant As id, a.name AS name, c.countryName AS country,
count(g.idGame) AS countGames
FROM Athlete a, Country c, Game g, Participant p, Event e
WHERE a.idAthlete = p.fkAthlete
AND p.fkCountry = c.idCountry
AND p.fkGame = g.idGame
AND g.idGame = e.fkGame
AND a.name LIKE '%$param%'
GROUP BY a.name
ORDER BY a.name;