El área de administración en mi sitio web de php es vulnerable a la inyección de sql sin inicio de sesión [cerrado]

-2

El área de administración de mi sitio web es vulnerable a la inyección de SQL. Intenté usar havji y hackeado con éxito a la base de datos. Pero, cómo es esto posible. sin iniciar sesión se rompió en el panel de administración. mysql_real_escape_string no se usa en el panel de administración. Solo lo uso yo.

    
pregunta 09.03.2013 - 10:28
fuente

1 respuesta

0

Según mi conocimiento es porque no estás usando php exit; función

puede que estés usando esto

session_start();
if (!isset($_SESSION['username'])) {
        header('Location: index.php');

}
 mysql and other php code here without filtering

pero debes usar

  session_start();
if (!isset($_SESSION['username'])) {
        header('Location: index');

        exit;
}

mysql y otro código php aquí sin filtrar

Ahora, cualquier software o escáner de vulnerabilidades no podrá verificar que tiene una laguna para la inyección de SQL. Como la función de salida no permitirá que otro código se ejecute después de sí mismo. Todavía es necesario el filtrado del lado del cliente. También puedes usar la función die.

    
respondido por el Abhishek 09.03.2013 - 10:36
fuente

Lea otras preguntas en las etiquetas