前端之家

  1. 首页
  2. 问答

如果出现错误403,我的网站是否容易受到SQL注入攻击?

问答

我有一个登录表单,为了测试,我尝试填写“从用户名=测试的帐户中选择*”,然后按Enter键以查看会发生什么。我被重定向到此页面:

如果出现错误403,我的网站是否容易受到SQL注入攻击?

我应该担心SQL注入吗?还是这是正常的反应?

编辑:此特定情况的PHP代码。

    $sql = "SELECT * FROM accounts WHERE Useremail=?";
    $stmt = mysqli_stmt_init($conn);
    if(!mysqli_stmt_prepare($stmt,$sql))
    {
        echo "There was an error whilst trying to connect to the database. Please re-submit your password reset request.";
        exit();
    }
    else
    {
        mysqli_stmt_bind_param($stmt,"s",$userEmail);
        mysqli_stmt_execute($stmt);
        $result = mysqli_stmt_get_result($stmt);
        if (!$row = mysqli_fetch_assoc($result))
        {
            header("Location: /reset-password.php?reset=fail");
            exit();
        }
    }
xuan2901 回答:如果出现错误403,我的网站是否容易受到SQL注入攻击?

403是未授权请求的标准http状态代码。看来至少在这一测试中,该网站做了正确的事情。

这不能保证它没有SQL注入漏洞。有句老话:

  

“测试表明存在缺陷,而不是缺陷。”

换句话说,可能还有另一种使用SQL注入来利用此站点的方法,而不仅仅是您测试过的方法。

您应该始终关注SQL注入漏洞,并寻求使用安全的编程技术来防止这些漏洞。

P.S .:我希望您有权在此网站上进行渗透测试。在未经许可的情况下,某些国家已将其起诉,这是犯罪行为。我建议您避免进行此类漏洞测试,除非它是您自己的网站,或者您的所有者已专门雇用您进行此类测试。

mysqlphpsqlsql-injection
本文链接:https://www.f2er.com/3163158.html

大家都在问