宿迁腾云网络网站建设公司

腾云网络 八年经验专注网站建设
  • 首页
  • 服务项目
    • 网站建设
    • 微信小程序
    • APP开发
    • SEO优化
  • 建站费用
  • 成功案例
    • 网站建设案例
    • 小程序案例
    • APP开发案例
    • SEO优化案例
  • 行业动态
    • 网站建设
    • SEO优化
    • 技术日志
  • 联系我们
    • 关于我们
首页 > 行业动态 > 技术日志 > 360 php防注入代码 慢查询日志操作有什么用?为什么要用它呢?php pdo 防注入

360 php防注入代码 慢查询日志操作有什么用?为什么要用它呢?php pdo 防注入

2022-01-03

起源

如果您查看过慢查询日志或网站日志,您可能会看到以下语句:

col.id = ((0)from(((90)))v)/*'+((0)from(((90)) )v)+'"+((0)from(((90)))v)+"*/;

可能是你的网站开通后大约一个小时内收到的日志,也可能是你访问web服务器时看到的日志()。如果你在慢查询日志或者日志中看到,并且跳转请求返回的状态码是200而不是404,那么恭喜你,你可能中标了,被Sql攻击了。在本文中,我们将通过使用 () 函数作为干预来与您讨论。

() 函数

(n),暂停数据库n秒。

不要混淆控制台中的状态。它描述了连接的状态。 () 函数做一件事,就是暂停数据库的执行网站开发,直到设定的时间。那么这个操作有什么用呢?为什么要使用它?

通常,有些操作需要一段时间的操作,而这些操作需要临时的操作或更新(比如数据锁,比如记录一个Pos点后,备份一个从库),当然也可能也是黑客攻击。

漏洞渗透扫描

如果你的数据库和网站没有采取安全措施,直接将端口暴露在公网(如ssh 22端口、3306端口),那么扫描仪很快就能扫描渗透你的端口。因此,综中意在主机保护中也提到了条款:禁止端口暴露于公网;修改常用端口。具体来说,最常用的扫描渗透和安全审计工具是。

是使用它编写的数据库SQL注入扫描工具。目前支持,,,,,,,,,,,,,,,,,,,,,,,,,,2等常见的数据安全漏洞(sql注入)

在盲主扫描中,通常会用到各种sql语句,通常会用到命令。例如360 php防注入代码,扫描那些使用旧的或非 PDO 连接的 PHP 网站,然后枚举易受攻击的 AJAX 命令或 GET/POST 结果的列表。通常需要在输出扫描结果时停止执行。

而类似的工具可以并行攻击数十个站点,通过强制这些站点上的数据库一段时间(数量设置取决于个人经验),并计算时间来测试渗透命令的有效性。这是在安全行业。通常称为基于时间的盲注。

快速剖析

本文开头我们举了一个sql语句的例子,是常用的盲注的典型语句。如果语句被执行,条件语句部分被替换成类似下面的内容,那么它绝对会锁定数据库:

col.id = ((0)from(((90)))v)/*'+((0)from(((90)) )v)+'"+((0)from(((90)))v)+"*/;

请注意,该语句巧妙地使用了各种运算符和分隔符。请注意,此语句对于仅拼写 sql 语句的程序很有用。使用PDO,语句可以过滤,不能执行。

PHP 注入示例

让我们写一个php例子来解释这个问题。看下面的函数:

在上面的例子中,我们使用了 () 函数来生成一个逗号分隔的 ID 列表。由于没有对输入进行校验,可能传入数组中存在非法命令或将数据库表中的数据转储到显示页面。解决这个问题,需要对传入的数据进行校验,并校验长度(根据实际需要限制参数长度,可以大大防止注入成功)。

可以使用PDO等链接框架,使用占位符替换(绑定)参数生成SQL语句,并通过参数验证,可以防止大部分SQL注入值。

PDO 不是万能药

上面我们也说了PDO可以防止大部分PHP Sql注入问题,但不能100%保证解决所有问题。

前面说过,把Sql独创的动态组合方式放在一起,让很多PHP系统都处于危险之中

所以,不知所措的程序员难免会通过谷歌寻求帮助:

以上是网上非常流行的PDO教程之一。代码使用了PDO,但与Sql的纯手工拼凑无异。这也是一种非常危险的做法。

下面也有答案(某知名编程问答网站):

你看到了吗?这是糟糕的代码网站开发,但它仍然被接受。编码者接受的概念是“使用PDO防止sql注入”,但是他们不知道PDO还有一个防止注入的前提,那就是必须用“?占位符绑定来写SQL,然后,然后”,否则没用。

不要低估()

也许你觉得()的执行没有什么问题?至少不要删除你的数据库。 () 易于识别,通常在此阶段危害不大。但是通过盲注Fuzz测试数据,可以执行大量查询,快速找到有效的攻击EXP。

其实这就是死核函数。这种想法的一个问题是,在依赖于 UX/UI 的生产 Web 项目中,通常的做法是将代码执行用户限制为只有权限,而不是给他 DROP 权限。但是()只需要权限就可以使用。

如何禁止?

因为只需要使用功能,所以不需要权限。并且可以作为“最安全”的命令执行。

这只是一个SQL注入漏洞,您不能使用定时攻击来暂停数据库执行或浏览数据(或转储)。而且一般情况下,不能通过简单的配置来禁用功能。您可以在数据库、表和列级别限制权限。当然,如果有办法简单地禁止某些危险功能,也是有道理的(比如php.ini中的配置)。

其实也给了我们一个防御思路,基于对关键字的检测来实现SQL攻击预警和防御。例如,基于此检测原理开发了 Web 防火墙 App-Waf(://App-Waf)。通过分析访问日志中的关键字360 php防注入代码,它包括功能。以下是我使用的关键字。规则(部分)。

本文中bug和大家用()函数作为介入来讨论Sql注入的问题。一般来说,可以使用()来枚举SQL漏洞。 PDO绑定参数的方法可以防止Sql注入。 ( ) 一般无害,一般情况下也很少使用,但可以变身宝物,作为检测攻击的手段。

更多安全和Sql注入问题,关注bug,bug会写文章和大家一起学习。

Tag: pdo php php框架
网站制作公众号

宿迁腾云网络网站建设公司 | 网站开发 | 网站制作 | 网站优化

咨询电话:13160355545

上一篇

返回栏目

下一篇

免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系网站客服处理。

热推

  • 简单php论坛开发定要网站建设需要的流程有哪些?-八维教育php实现简单论坛
  • 实例讲述实现转中文及转换默认编码的方法(二)
  • php开源网站管理系统 开源直播系统源码撰写的PHP程序便是引擎的开发语言开源php网站管理
  • php网站入侵工具尚未发现其他网络设备供应商供应商受感染(图)上海php入侵工具
  • 就是2017年上最流行的15种编程语言
  • 【关键字】计算机程序设计语言的发展史及现状(组图)
  • stringiconv(stringin_charset,stringout_charset,,)注意:第二个参数
  • php网站密码破解解决方案,美国虚拟主机网站老被黑以上三个方面入手,基本上 破解网站密码
  • “网站木马查杀工具”同时支持php、js、asp等等格式
  • 被称为是最接近AI(人工智能)的语言,也被程序员

相关

了解常见PHP应用程序安全威胁,掌握6个常见安全性攻击

了解常见PHP应用程序安全威胁,掌握6个常见安全性攻击

如何查看php版本?多种方法助你快速知晓

如何查看php版本?多种方法助你快速知晓

PHP格式化:提升代码质量与协作效率的关键规则

如何查看虚拟主机上的 PHP 版本?这篇文章告诉你

Linux 系统管理员和 web 开发者必知:如何查看 PH

Linux 系统管理员和 web 开发者必知:如何查看 PH

免费开源的轻量级 PHP 开发框架 ThinkPHP,遵循

从零开始开发完整网站:前端、后端与 Web 服务器的关键技术

php框架 Java 与 PHP 之争:为何懂技术的大佬选

BitDefender 发布超级工厂病毒专杀工具,可清除所有

asp语言与php语言的区别 前端和后端的区别,你真的了解吗

标签

seo(1182) 市场营销(661) 网站制作(573) 网站建设(564) 搜索引擎(553) 网站(482) PHP(361) 编程语言(345) 建站(294) 关键词排名优化(267) 网站建设公司(245) 优化(216) seo排名(207) 域名(190) 软件(171) 网站优化(148) 搜索引擎优化(146) 外链(141) 科技(136) 网站关键词(124) 网站排名优化(123) 域名服务器(120) 网站排名(107) 时政(103) 排名优化(95) 搜索引擎收录(93) 网站设计(92) 电子商务(88) 引擎(86) 移动互联网(85) 开发框架(79) 开发(75) 网站服务器(74) 框架(68) 前端开发(68) 网站分析(66) 网站建设方案(65) 关键(64) 流量(63) 源码(62) 百度优化(62) 网站权重(61) 开放源代码(59) seo培训(53) 网页设计(51) 百度(51) php框架(50) 网站建设知识(50) 大数据(50) 谷歌(49)
宿迁腾云网络网站建设公司
网站建设
  • 私人定制
  • 标准模板建站
  • 经济模板建站
精品模板

宿迁腾云网络网站建设公司

联系电话:13160355545

公司地址:江苏省宿迁市丽景湾华庭北门都市花园公寓9楼907

联系邮箱:admin@tyweb.net

全国分站
  • 北京
  • 广东
  • 东莞 广州 中山 深圳 惠州 江门 珠海 汕头 佛山 湛江 河源 肇庆 潮州 清远 韶关 揭阳 阳江 云浮 茂名 梅州 汕尾
  • 山东
  • 济南 青岛 临沂 济宁 菏泽 烟台 泰安 淄博 潍坊 日照 威海 滨州 东营 聊城 德州 莱芜 枣庄
  • 江苏
  • 苏州 徐州 盐城 无锡 南京 南通 连云港 常州 扬州 镇江 淮安 泰州 宿迁
  • 河南
  • 郑州 南阳 新乡 安阳 洛阳 信阳 平顶山 周口 商丘 开封 焦作 驻马店 濮阳 三门峡 漯河 许昌 鹤壁 济源
  • 上海
  • 河北
  • 石家庄 唐山 保定 邯郸 邢台 沧州 秦皇岛 张家口 衡水 廊坊 承德
  • 浙江
  • 温州 宁波 杭州 台州 嘉兴 金华 湖州 绍兴 舟山 丽水 衢州
  • 陕西
  • 西安 咸阳 宝鸡 汉中 渭南 安康 榆林 商洛 延安 铜川
  • 湖南
  • 长沙 邵阳 常德 衡阳 株洲 湘潭 永州 岳阳 怀化 郴州 娄底 益阳 张家界 湘西
  • 重庆
  • 福建
  • 漳州 泉州 厦门 福州 莆田 宁德 三明 南平 龙岩
  • 天津
  • 云南
  • 昆明 红河 大理 文山 德宏 曲靖 昭通 楚雄 保山 玉溪 丽江 临沧 思茅 西双版纳 怒江 迪庆
  • 四川
  • 成都 绵阳 广元 达州 南充 德阳 广安 阿坝 巴中 遂宁 内江 凉山 攀枝花 乐山 自贡 泸州 雅安 宜宾 资阳 眉山 甘孜
  • 广西
  • 贵港 玉林 北海 南宁 柳州 桂林 梧州 钦州 来宾 河池 百色 贺州 崇左 防城港
  • 安徽
  • 芜湖 合肥 六安 宿州 阜阳 安庆 马鞍山 蚌埠 淮北 淮南 宣城 黄山 铜陵 亳州 池州 巢湖 滁州
  • 海南
  • 三亚 海口 琼海 文昌 东方
  • 江西
  • 南昌 赣州 上饶 吉安 九江 新余 抚州 宜春 景德镇 萍乡 鹰潭
  • 湖北
  • 武汉 宜昌 襄樊 荆州 恩施 孝感 黄冈 十堰 咸宁 黄石 仙桃 随州 天门 荆门 潜江 鄂州 神农架
  • 山西
  • 太原 大同 运城 长治 晋城 忻州 临汾 吕梁 晋中 阳泉 朔州
  • 辽宁
  • 大连 沈阳 丹东 辽阳 葫芦岛 锦州 朝阳 营口 鞍山 抚顺 阜新 本溪 盘锦 铁岭
  • 黑龙江
  • 齐齐哈尔 哈尔滨 大庆 佳木斯 双鸭山 牡丹江 鸡西 黑河 绥化 鹤岗 伊春 大兴安岭 七台河
  • 内蒙古
  • 赤峰 包头 通辽 呼和浩特 乌海 鄂尔多斯 呼伦贝尔
  • 贵州
  • 贵阳 黔东 黔南 遵义 黔西 毕节 铜仁 安顺 六盘水
  • 甘肃
  • 兰州 天水 庆阳 武威 酒泉 张掖 陇南 白银 定西 平凉 嘉峪关 临夏 金昌 甘南
  • 青海
  • 西宁 海西 海东 海北 果洛 玉树 黄南
  • 新疆
  • 乌鲁木齐 伊犁 昌吉 石河子 哈密
  • 西藏
  • 拉萨 山南 林芝 日喀则
  • 吉林
  • 长春 白山 白城 延边 松原 辽源 通化 四平
  • 宁夏
  • 银川 吴忠 中卫 石嘴山 固原
SiteMap
网站地图
TAG标签
Copyright © 2017-2025 TYWEB.NET 宿迁腾云网络科技有限公司 ALL RIGHTS RESERVED.   苏ICP备17033535号-1

热门搜索

百度 下载 2025 2024 2026 货源 货货源 虚拟 禅道 报名 金蝶KIS旗舰版
  • 客服

    在线客服

  • 电话

    13160355545

  • 微信

精品模板
建站费用
成功案例
联系我们