从YouBBS的一个SQL注入漏洞,总结一下程序设计中一些要注意的点
By
lincanbin
at 2015-07-11 • 0人收藏 • 3025人看过
Youbbs出现了一个比较严重的SQL注入漏洞。
http://youbbs.sinaapp.com/t/1911
YouBBS这个漏洞出现的原因主要有三点:
技术选型在SQL连接库上选用了已废弃特性mysql而不是PDO或者mysqli,SQL必须预处理/使用参数绑定分离命令和数据才足够安全;PDO在自行编译extension的情况下,就算在进了棺材的PHP 5.1中也是可以正常执行的。
没有对所有用户输入进行有效的过滤,默认应该认为所有来自用户端的输入都是不可靠的;
错误信息直接显示而不是写入日志,错误信息抛出后不需要给用户查看,只要自己记入Log即可,这估计是图个开发方便。
7 个回复 | 最后更新于 2015-08-02
登录后方可回帖
下面转载下YouBBS漏洞信息原文:
来源:http://youbbs.sinaapp.com/t/1911