上午在搞测试环境的SQL注入防护,把所有用户输入的地方都加了预处理语句(PDO::prepare),顺手干掉了三个没过滤的拼接点…
有个地方居然还用mysqli_real_escape_string硬抗,看得我直摇头(这年头谁还靠转义防注入啊)
刚跑完sqlmap扫一遍,报错全没了,连报错页面都不显示了!
不过有个老接口返回500倒是让我卡了半小时…最后发现是参数名写错了,输成user_idd了
现在看着日志里全是安全的200,莫名有点小开心…
有个地方居然还用mysqli_real_escape_string硬抗,看得我直摇头(这年头谁还靠转义防注入啊)
刚跑完sqlmap扫一遍,报错全没了,连报错页面都不显示了!
不过有个老接口返回500倒是让我卡了半小时…最后发现是参数名写错了,输成user_idd了
现在看着日志里全是安全的200,莫名有点小开心…
登录/注册
