10.4. 系统安全

本教程最新版为 8.x,当前版本已放弃维护,请阅读最新版本!

系统安全

对于一个电商系统来说,安全性是一个很重要的指标,因为涉及到金钱交易,如果出现重大安全漏洞可能导致经济上的损失。

本章节将要介绍网站的常见漏洞类型及原理,以及对我们的电商系统的安全检查。

1. SQL 注入漏洞

SQL 注入是最古老、最流行同样也是危害最大的漏洞之一,这个漏洞的核心就一句话:将未经过滤的用户输入拼接到 SQL 语句中。

举个例子:

$product = DB::select("select * from products where id = '".$_GET['id']."'");

这个时候用户提交的 id 如果是 1 and 1 = 2,那么最终被执行的 SQL 就是

select * from products where id = 1 and 1 = 2

很明显这个 SQL 查出来的结果必然为空,那么页面就会显示该商品不存在。

但仅仅是这样感觉好像没有什么危害,那这个时候攻击者提交的 id 参数变成了:

1 and exists (select * from admins where name = 'admin')
...

本文章首发在 LearnKu.com 网站上。

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
Summer
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 3