遇到一个简单漏洞(sql注入)
2013-03-26 10:20
155 查看
最近项目遇到一个问题,是关于sql注意的问题,一个同事,写sql是拼写的,我们有低层的pdo没有用,结果造 成了注入,代码如下:
这里nickname变量,没有处理,如果输入了7865'; --这样 -- 在mysql中,会自动忽略后面的语法,结果就成了 无条件的更新,所有的user_nick都一样了.
下次要多注意安全问题了!
/* * $sql = "update <DB.TABLE> set is_activated=1,client_id='',encrypt_pwd='',user_nick='{$nickname}',update_time={$update_time} where sdid = {$uid} "; $result = LibPDOEx::getPDO('user')->exec_with_prepare($sql, null); */ $set = array('is_activated' => 1, 'client_id' => '', 'encrypt_pwd' => '', 'user_nick' => $nickname, 'update_time' => $update_time ); $where = " sdid={$uid} "; $result = LibPDOEx::getPDO('user')->update($set,$where);
这里nickname变量,没有处理,如果输入了7865'; --这样 -- 在mysql中,会自动忽略后面的语法,结果就成了 无条件的更新,所有的user_nick都一样了.
下次要多注意安全问题了!
相关文章推荐
- TimerTask在遇到修改系统时间不能正常工作,自己写一个简单的TimerTask和Timer
- [异常解决] 初玩SAE遇到的小问题——注册&创建项目+MyEclipse装插件直接部署+一个简单的JSP部署实现
- 数据库表表面上存在索引和防错机制,然而一个简单的查询就会耗费很长时间。Web应用程序或许在开发环境中运行良好,但在产品环境中表现同样糟糕。如果你是个数据库管理员,你很有可能已经在某个阶段遇到上述情况。
- 分享一个近期遇到的逻辑漏洞案例
- 本地搭建含有简单sql注入漏洞的网站
- 一个简单的SQL注入
- SQL注入漏洞的简单代码实现,易懂
- 【转】之简单分析什么是SQL注入漏洞
- 学习ejb并配置一个简单的helloEjb是遇到问题后总结的经验。
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
- 什么是简单的分析SQL注入漏洞
- 自己在之前做两个项目中遇到多线程并发访问如何解决的一个简单demo程序
- 单步执行遇到的离奇问题?一个简单的赋值语句都执行失败的bug
- SQL注入的一个简单实例
- 一个简单的gridview+formview查询器,遇到的问题(未完成)
- 遇到一个很难说话的人,要求在网页上点一下文字,变成另外一些文字,下面是简单的实现
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
- SQL注入漏洞全接触 -- 简单介绍篇 --
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站