我正在查看服务器日志,我看到了这样的恶意请求:
http://www.*****.in/catalogue.php?storeid=%27nvOpzp;%20AND%201=1%20OR%20(%3C%27%22%3EiKO))
用户想做什么?我该如何防范这种情况?
如果我们对参数值进行url解码,它会变得更可读,并且很明显这是SQL注入尝试-参数会变成
Opzp; AND 1=1 OR (<'">iKO)
演示:https://3v4l.org/apMJ7。
请参阅如何防止PHP中的SQL注入?如果你不熟悉如何防范这种事情。基本上,您需要使用准备好的语句,并将所有包含在查询中的变量值参数化。