php - 如果出现 403 错误，我的网站是否容易受到 SQL 注入(inject)攻击？

Question

我有一个登录表单，只是为了测试，我尝试填写“从用户名=测试的帐户中选择*”，然后按 Enter 键看看会发生什么。我被重定向到此页面:

我应该担心 SQL 注入(inject)吗？或者这是正常 react ？

编辑:此特定情况的 PHP 代码。

    $sql = "SELECT * FROM accounts WHERE Useremail=?";
    $stmt = mysqli_stmt_init($conn);
    if(!mysqli_stmt_prepare($stmt, $sql))
    {
        echo "There was an error whilst trying to connect to the database. Please re-submit your password reset request.";
        exit();
    }
    else
    {
        mysqli_stmt_bind_param($stmt, "s", $userEmail);
        mysqli_stmt_execute($stmt);
        $result = mysqli_stmt_get_result($stmt);
        if (!$row = mysqli_fetch_assoc($result))
        {
            header("Location: /reset-password.php?reset=fail");
            exit();
        }
    }

Answer 1

403 是未授权请求的标准 http 状态代码。看来至少在这一次测试中，该网站做了正确的事情。

这并不能保证它不存在 SQL 注入(inject)漏洞。有句老话:

"Testing shows the presence of bugs, not their absence."

换句话说，可能还有另一种方法可以使用 SQL 注入(inject)来利用此站点，但不是您测试的方法。

您应该始终关注 SQL 注入(inject)漏洞，并寻求使用安全的编程技术来防止它们。

P.S.:我希望您有权在此网站上进行渗透测试。在一些国家，未经许可的行为是犯罪行为，人们会因此受到起诉。我建议您避免对漏洞进行此类测试，除非这是您自己的网站，或者网站所有者专门雇用您进行此类测试。