gpt4 book ai didi

php - sql-injection urls,参数的长度是一个安全问题吗?

转载 作者:可可西里 更新时间:2023-11-01 12:59:25 25 4
gpt4 key购买 nike

我收到了很多涉及 sql 注入(inject)尝试的点击,这些尝试涉及越来越长的参数。我限制了 php 中的参数以将它们转换为正整数或零,但我不确定是否存在涉及非常长的参数的某种技巧可能会导致我出现问题(缓冲区溢出问题?)。

我知道 php 中的 suhosin 补丁对过长的参数进行了某种修补,但我目前还没有。我应该怎么做才能保护自己免受此类情况的影响(来 self 的日志)?

ProductId=47&ItemId=-1025+UNION+SELECT+0x6d6567613164756d706572,0x6d6567613264756d706572,0x6d6567613364756d706572,0x6d6567613464756d706572,0x6d6567613564756d706572,0x6d6567613664756d706572,0x6d6567613764756d706572,0x6d6567613864756d706572,0x6d6567613964756d706572,0x6d65676131064756d706572,0x6d65676131164756d706572,0x6d65676131264756d706572,0x6d65676131364756d706572,0x6d65676131464756d706572,0x6d65676131564756d706572,0x6d65676131664756d706572,0x6d65676131764756d706572,0x6d65676131864756d706572,0x6d65676131964756d706572,0x6d65676132064756d706572,0x6d65676132164756--

最佳答案

您可以使用 intval()验证用户输入。如果解析失败,它将以整数或 0 的形式返回输入。在您的示例中就是后者。

$filteredItemId = intval($_GET['itemId']);

if($filteredItemId <= 0) { /* invalid id given */ } else { /* do stuff */ }

关于php - sql-injection urls,参数的长度是一个安全问题吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6498694/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com