大家好 我原本一直以為要解決SQL injection就是把參數都做過一番處理 把可能造成問題的字元字串都清除掉就沒事了 怎知最近收到資安報告有3個程式都說有Blind SQL injection的高風險存在 這3個程式共同點就是都沒有任何參數(也就是$_GET[]是empty、QUERY_STRING是'') 報告中的測試語法是: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z X-Requested-With: XMLHttpRequest Connection: keep-alive Accept: */* Accept-Encoding: gzip,deflate Host: xxx.xxx.xxx.xxx 坦白說....我看不太懂 是指駭客可以用XFF寫入這串語法造成程式無法執行嗎@@ 但目前查了一下相關資料似乎大部分 先不論在XFF自行輸入這串語法透過HTTP會造成什麼樣的作用 但如果這是問題來源 我目前規劃的解決方式有幾種，但不曉得到底方向正不正確，所以想請教大家: 方案1: 先檢查 $_SERVER["HTTP_X_FORWARDED_FOR"] 看有沒有亂七八糟的字串 理論上應該都是IP(也就是必須一定是 [數值.數值.數值.數值] 的格式) 如果不是就一律封殺 不曉得會不會有什麼副作用反而連不該封殺的也封殺了? 還有Header裡面除了XFF是不是其他地方也必須有此防範? 方案2: 檢查 QUERY_STRING 看是不是空白或者 $_GET 是不是empty 不是的話也一律封殺 (雖然這樣做好像沒有意義 因為原本這些程式就完全沒有處理參數?) 以上問題還請大家指教和指正 也謝謝大家耐心看完 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.124.101.142 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1557956749.A.975.html ※ 編輯: techcrpa (140.124.101.142), 05/16/2019 06:15:11 感謝st大!!!! 我的確忘了這件事@@ 我修改完會去辨識是IPv4或IPv6這兩種回傳的IP了(還真的是有IPv6的來源...) 謝謝Crow大 這網頁超詳盡 這樣我完全明白了 目前已經都改成pdo的prepared statements了 謝謝大家的幫忙 ※ 編輯: techcrpa (61.216.122.103), 05/20/2019 17:24:09