ユーザーが
<script src=...> </script>
私のデータベースのコードで、phpmyadmin を使用すると、行を削除できませんでした。ページは試行するたびに更新され続け、行はまだそこにありました。
幸いなことに、Chrome でシークレット ウィンドウを使用していたので、セッションを更新して行を直接 (最初に表示せずに) 削除することで、行を削除できることがわかりました。データベースのパスワードを変更し、HTML 入力を防ぐためにコードをクリーンアップしました。他に何が危険にさらされていますか?
phpMyadmin は、注入された JavaScript コードに敏感ですか?
明確にするために:Phpmyadminは、このシークレットウィンドウでアクセスした唯一のWebサイトであるため、別のWebサイトから来た可能性はありません
phpMyAdmin の古いバージョン ( < 4.0 ) は、SQL インジェクションおよびクロスサイト スクリプティングに対して脆弱です。お持ちでない場合は、最新バージョンにアップデートすることをお勧めします。
ここで最新バージョンを入手できます: http://www.phpmyadmin.net/ </p>
また、XSS (クロス サイト スクリプティング) http://www.ibm.com/developerworks/web/library/wa-secxss/を防止する方法を確認するか、リンクがわかりにくい場合はググってください。それが役立つことを願っています <3
phpmyadmin にはリスクはありません (パスワードを設定し、別のログインを root として使用している場合はもちろん!)。すべてのリスクは、データがデータベースに挿入される可能性のある他の Web ページから発生します。
OWASP のこのセクションとここに移動します。
ユーザーが送信したデータを出力するときは、適切にサニタイズされていることを常に確認する必要があります。そうしないと、XSS攻撃の可能性にさらされることになります。関数htmlspecialcharsを使用すると、出力を簡単にサニタイズできます。
echo htmlspecialchars($userSubmittedData, ENT_QUOTES, 'utf-8');
また、データの整合性が失われる可能性があるため、入力時にタグなどを削除しないことをお勧めします。ユーザーが送信したデータを出力するときは常に、必ずhtmlspecialcharsを使用してください。
phpmyadmin のバージョンが可能な限り最新であることを確認してください。Web 検索により、古いバージョンの XSS が明らかになります。
これらの見出しを見つけました:
PhpMyAdmin バージョン 3.5.7 はクロス サイト スクリプティングに対して脆弱です
完全開示: phpMyAdmin 3.3.5 / 2.11.10 <= クロス サイト スクリプティング
phpmyadmin のセキュリティ修正履歴は、 http ://www.phpmyadmin.net/home_page/security/ で参照できます。
主な問題は、誰かが悪意のあるコードを挿入できることです。データベースに追加する前に、すべてのユーザー入力 (URL 内のクエリ文字列を含む) が (JavaScript 経由ではなくサーバー上で) 正しくサニタイズされていることを確認する必要があります。テキストを許可するフィールドでは、 などの疑わしい文字列を検索する必要があります<script。さらに良いのは (サイトの機能を損なわない限り)、許可された文字のホワイトリストを作成して、悪意のあるコードを入力できないようにすることです。たとえば、英数字のみを許可し、それ以外は許可しません。
あなたのコードは生の方法で入力を受け入れています。データベースに挿入するときは、htmlspecialchars とエンコーディングを使用してください。