→ crossdunk: 怎麼不用pdo就好 05/16 10:58
推 tecnniv: pdo是不是唯一解啊@@ 哭哭 05/16 12:52
→ MOONRAKER: 別的lib如果有prepared statement也可以啦 05/16 13:48
推 crossdunk: 你是用分身回推文嗎= = 05/16 14:05
推 tecnniv: 電腦和手機用不同嘛XD 所以不用去處理header的內容分析 05/16 16:25
→ tecnniv: 只要先處理好prepared statements就好了(通過弱掃)? 05/16 16:25
推 tecnniv: 不對啊? 我還是不太懂 像這種寫進Header裡面的語法 跟資 05/16 16:53
→ tecnniv: 料庫的關聯是? 為什麼透過pdo和prepared statements來存 05/16 16:54
→ tecnniv: 取資料庫就同樣能夠處理這樣狀況呢? 05/16 16:54
推 a0960330: 就算有prepare statements,弱掃工具會知道? 05/16 19:07
推 st1009: 方案一莫忘IPv6 05/16 19:33
感謝st大!!!!
我的確忘了這件事@@
我修改完會去辨識是IPv4或IPv6這兩種回傳的IP了(還真的是有IPv6的來源...)
推 Crow22312: 查看看有沒有把 IP 紀錄到資料庫的程式片段吧 05/17 02:27
→ Crow22312: 網路上取得使用者 IP 的範例十個有九個會依序巡過包含 05/17 02:29
→ Crow22312: 這個 header 的, 如果有又沒擋就像他掃的一般中標啦 05/17 02:29
推 tecnniv: 有的 就是做了這紀錄然後抓到XFF不少不是ip而是OR XOR跟 05/17 03:23
→ tecnniv: 一些詭異邏輯判斷式 05/17 03:23
推 Crow22312: 所以這個 header 跟 sql injection 的關聯就確定了吧 05/17 04:03
→ Crow22312: 只要有機會被玩填字遊戲就算是漏洞, 邪惡者總是有辦法 05/17 04:05
→ Crow22312: 出奇不意的塞東西, 特殊條件下 (字集) 也是有機會躲過 05/17 04:06
→ Crow22312: preg_replace 之類的土製篩選手法.. 所以最理想還是 05/17 04:06
→ Crow22312: 交給 pdo 去處理.. (當然 prepar statement 下錯依然.. 05/17 04:07
推 Crow22312: 夜半腦子不清楚更正一下.. 字集的漏洞是針對 pdo 的, 05/17 04:22
→ Crow22312: regexp 的則是另有一堆, 像是這篇裡的 [0x01] 05/17 04:23
謝謝Crow大
這網頁超詳盡 這樣我完全明白了
目前已經都改成pdo的prepared statements了
謝謝大家的幫忙
※ 編輯: techcrpa (61.216.122.103), 05/20/2019 17:24:09