网站完成后,用一工具扫描网站出现了这种漏洞提示!

你的页面sql部分没有防止 sql注入攻击 ,建议使用adodb吧

解决方案 »

  1.   

    php没有asp那样可怕,一次不能执行2条sql的
      

  2.   

    php没有asp那样可怕,一次不能执行2条sql的--------------------------------------------
    这个说的是php还是mysql?
      

  3.   

    php没有asp那样可怕,一次不能执行2条sql的--------------------------------------------
    这个说的是php还是mysql?--------------------------------------------
    等正解
      

  4.   

    mysql5不是支持select * from test weher select *..........吗?
    这算不算双语句呢
      

  5.   

    $colname_rs1 = (get_magic_quotes_gpc()) ? $_GET['Id'] : addslashes($_GET['Id']);==>$colname_rs1 = intval( $_GET['Id'] );这样子可以防注了。。
      

  6.   

    给你一个防止SQL注入的方法,注意extract函数的用法!
    <?phperror_reporting(E_ERROR | E_WARNING | E_PARSE);
    set_magic_quotes_runtime(0);@extract( alladdslashes($_GET), EXTR_PREFIX_SAME, 'ERROR' );
    @extract( alladdslashes($_POST), EXTR_PREFIX_SAME, 'ERROR' );
    @extract( alladdslashes($_COOKIE), EXTR_PREFIX_SAME, 'ERROR' );function alladdslashes($mixvalue) {
       if( !get_magic_quotes_gpc() ) {
          if( is_array($mixvalue) ) {
             foreach($mixvalue as $name => $value) {
                $mixvalue[$name] = alladdslashes($value);
             }
          } else {
             $mixvalue = addslashes($mixvalue);
          }
       }
       return $mixvalue;
    }?>
      

  7.   

    用这个函数来处理提交过来的数据。
    /**
    @var $content 表单提交过来的数据
    */function quotes($content)
    {
    //如果magic_quotes_gpc=Off,那么就开始处理
    if (!get_magic_quotes_gpc()) {
    if (is_array($content)) {
    //如果$content是数组,那么就处理它的每一个单无
    foreach ($content as $key=>$value) {
    $content[$key] = addslashes($value);
    }
    } else {
    //如果$content不是数组,那么就仅处理一次
    addslashes($content);
    }
    } else {
    //如果magic_quotes_gpc=On,那么就不处理
    }
    //返回$content
    return $content;
    }
      

  8.   

    是吗?
    /park/park_detail.php?Id='UNION'
    SQL: SELECT * FROM cnani_park WHERE Id = \'UNION\'/park/park_detail.php?Id='
    SQL: SELECT * FROM cnani_park WHERE Id = \'/park/park_detail.php?Id='%22
    SQL: SELECT * FROM cnani_park WHERE Id = \'\"/park/park_detail.php?Id=9%2c+9%2c+9
    SQL: SELECT * FROM cnani_park WHERE Id = 9, 9, 9/park/park_detail.php?Id='bad_bad_value
    SQL: SELECT * FROM cnani_park WHERE Id = \'bad_bad_value/park/park_detail.php?Id=bad_bad_value'
    SQL: SELECT * FROM cnani_park WHERE Id = bad_bad_value\'/park/park_detail.php?Id='+OR+'
    SQL: SELECT * FROM cnani_park WHERE Id = \' OR \'/park/park_detail.php?Id='WHERE
    SQL: SELECT * FROM cnani_park WHERE Id = \'WHERE/park/park_detail.php?Id=%3B
    SQL: SELECT * FROM cnani_park WHERE Id = ;/park/park_detail.php?Id='OR
    SQL: SELECT * FROM cnani_park WHERE Id = \'OR/park/park_detail.php?Id=' or 1=1--
    SQL: SELECT * FROM cnani_park WHERE Id = \' or 1=1--/park/park_detail.php?Id= or 1=1--
    SQL: SELECT * FROM cnani_park WHERE Id = or 1=1--/park/park_detail.php?Id=' or 'a'='a
    SQL: SELECT * FROM cnani_park WHERE Id = \' or \'a\'=\'a/park/park_detail.php?Id=') or ('a'='a
    SQL: SELECT * FROM cnani_park WHERE Id = \') or (\'a\'=\'a没有一句是合法的sql语句!
    因此也无所谓“漏洞”,狗屁的工具!
    php没有asp那样可怕,一次不能执行2条sql的
    --------------------------------------------
    这个说的是php还是mysql?是php