私は自分の変数で mysql_real_escape_string() を使用していますが、ログを調べると、次のようなエントリを持つ誰かからの入力ストリームに気付きました:
${@print(md5(acunetix_wvs_security_test))}
1\" or (sleep(4)+1) limit 1 --
等々。それらの膨大なリスト。
彼は試みているだけで、何も起こらないのですか?または、私のコードは mysql_real_escape_string() だけでは安全ではありませんか?
編集: 損傷は見られませんが、サイトのほとんどの入力領域は何度も試行されています。一度でも機能しないと、安全だとわかってやめたのではないでしょうか?
これらのエントリは、Acunetix Web 脆弱性スキャン (詳細については、 http: //www.acunetix.com/vulnerability-scanner/を参照) から取得されます。
要するに、これはサイト上で実行され、既知のセキュリティ問題をテストする単なるロボットです。あなたの質問に関しては、彼はただ試みているだけです。サイトに脆弱性がある場合でも、スキャナーは何も破壊しようとせず、脆弱性をテストしている担当者に報告するだけです。
自動スキャンは誰かが自動的に情報を収集し、自動スキャンで得た情報を使って手動でサイトを攻撃しようとする可能性があるため、後でログを再度確認することをお勧めします。しかし、あなたのアプリケーションがどれほど重要かはわかりません。
編集: いいえ、スキャナーは停止しませんでした。これらのスキャナーはあまりスマートではなく、以前の結果から学習しようとしません。彼らは定義された攻撃のリストを処理するだけで、見つけたすべての入力/パラメータでそれらを試みます。
誰かがあなたのサイトを acunetix venerability スキャナーでスキャンしているようです。データベースのデータに変化が見られますか? もしそうなら、彼は成功しています。
このツールは非常に強力で、スクリプトの非常に多くの穴を見つけるように設計されています。
mysql_real_escape_string() 検索に依存してサイトを再構築するだけでは十分ではありません。mysql インジェクションだけでなく、スクリプトに侵入する方法はたくさんあります。
PHP と MYSQL のセキュリティの詳細をご覧ください。
一貫して を使用するmysql_real_escape_stringと、SQL インジェクションに対して安全になるはずです。
は将来的に非推奨mysql_queryになることに注意してください。もう使用しないでください。