mysql_real_escape_string一部の php スクリプトでは関数が '' 内になく、インジェクションやsleep(30)本番サイトで実行されるようなものに対して脆弱であることに気付きました。
ここでたくさん読んだ後、PDOルートに行き、準備されたステートメントを実装します。しかし、これはまだ実装されていません。
質問はいくつかありますが、私のログを見ると、オンラインの人々によって多くの注射が行われていることがわかりますが、損害は見られません. SQLクエリを実行するためにサイトを実行するユーザーには、update/select/delete/insert特権しかありません。
しかし、私は心配sleep(30)していて、何がうまくいかないのですか?
どこで損害を確認すればよいか教えていただけますか、または少なくとも重大な損害に対して安全でしたか?
非表示の mysql 設定またはシステム設定を変更できますか?
ちなみに、centos 6+ linux と php で最新のアップデートを実行しようとしました。
ありがとう
編集:明確にするために、データベースはほとんど空であり、データがそこにあり、パスワードがsh512でハッシュされていることを心配していません。これは私が書いている新しいアプリケーションであるため、内部のデータは重要ではありません。しかし、私が心配すべきシステムやデータベースで何かが変更されたのではないかと心配しています。私が見たインジェクションのいくつかにはJavaなどが含まれていますが、ログは巨大で、それを調べるのに時間がかかります. インジェクションにはいくつかのスキーマ文字列も表示されます。
問題は、彼らが私のスキーマ情報を読んだり、変更したりできるかということです。制限されたユーザーの場合、スリープなどの機能が機能するのはなぜですか? 彼らは他にどのような機能を実行できたでしょうか?
同じMySQLに他のDBがあることに注意してください。私はそれらについて心配する必要がありますか?
'' つまり: select * from dbname where id=scaped_string 引用符で囲む必要がありました