sql 注入将会是一个笑话

lyxxxh 的个人博客 / 2 / 6 / 创建于 6年前

sql 注入一直是开发人员头疼的问题危害性。。你们懂的

即使再菜的菜鸟写程序都会用框架的

框架 sql 都是预处理

如使用 php7 php7 禁止用 mysql 函数只能用 mysqli 或者 pdo 可能是 mysql 函数不支持预处理

手工防护的就算了不知道多少人的手工防注入都是有漏洞

几乎都是找其他漏洞例如:

xxs 的 xxs 手工防止和 php 函数都是不行的你永远不知道别人掌握什么样的骚操作

文件上传漏洞限制图片？改下包就好了限制后缀？改成 1.php.qwe 就行了

各种 sql 注入 (联合盲注等等) 一个预处理的事情

我认为 sql 注入将是个笑话了

因为预处理的普及几乎可以不用找漏洞了 --------------------- 除非你找的是老网站

database crud generator

本作品采用《CC 协议》，转载必须注明作者和本文链接

专心学习不瞎搞

lyxxxh

1.3k 声望

专心瞎搞不学习

0 人点赞

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

翻译

如何在 Laravel 中找到最慢的查询 47 / 13 |

整挺好！PHP4年的CRUD日子 10 / 19 |

博客

[扩展包] Laravel-ali-green 阿里鉴黄包括文本、图片、视频 18 / 15 |

博客

成长，就是不断向自己妥协的过程 23 / 21 |

博客

Laravel 代码生成器（图形界面），直观、便捷、高效，在线生成代码 14 / 13 |

讨论数量: 6

leo

管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

说明你对 SQL 注入的原理理解不够深刻，Laravel 的 SQL 都是做了预处理的，但是仍然有人可以写出有 SQL 注入漏洞的代码。

6年前评论

勇敢的心

能不能举个例子

leo （作者）

@勇敢的心楼下就有，博客：sql 注入将会是一个笑话

勇敢的心

@leo whereRaw本来就不走预处理

ChiVincent

221 声望

說明你對 PHP PDO 中的預處理瞭解得不夠深刻，PHP 的 prepare statement 是模擬出來的，而不是真正的 parepared statement

啊不過以目前而言，就算是模擬出來的也是沒有漏洞啦，這個倒是不必擔心（暫時）

6年前评论

lovecn

188 声望

比如 User::whereRaw('id='.$req->get('id'))->get()

6年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

sql 注入将会是一个笑话

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

sql 注入将会是一个笑话

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录