标签：php linux mysql database code-injection

我只是注意到我的mysql_real_escape_string函数不在我的一些PHP脚本中,并且它很容易受到注入以及在我的生产站点上执行的睡眠(30)之类的事情.

我正在进行PDO路由,并在经过大量阅读后实现准备好的语句.但这还没有实现.

几乎没有问题,我在日志中看到很多注射都是由人在线完成但我看不到任何损害.站点运行以执行sql查询的用户具有更新/选择/删除/仅插入权限.

但我担心像睡觉(30)和什么不起作用,如果他们做了任何损害我没有看到？
您能告诉我在哪里检查损坏赔偿还是我至少可以获得重大损失？
他们可以更改隐藏的mysql设置或系统设置吗？

顺便说一句,我试图在centos 6 linux和php上运行最新的更新.

谢谢

编辑：
只是为了澄清,数据库几乎是空的,我不担心数据存在,密码是sh512.所以里面的数据并不重要,因为这是我正在写的新应用程序.但我很担心,如果他们改变了系统上的任何东西,或者我应该担心的db.我看到的一些注射有java等,但是日志很大,需要时间来检查它.我还在注射中看到一些模式字符串.

现在问题是他们可以阅读我的架构信息还是修改它们？如果是限制用户,为什么像睡眠这样的函数会起作用？他们还能运行什么其他功能？

请注意我在同一个MySQL中有其他数据库.我应该担心那些吗？

通过”我的意思是：
select * from dbname where id = scaped_string
我应该把它放在引号中

解决方法:

检查对数据造成的损坏取决于数据库中的数据类型.如果仔细检查后你没有看到任何错误,那么可能没有错.如果您的数据大小合适,这将很难或不可能.

有很多自动机器人在互联网上漫游,寻找易受SQL注入攻击的代码.他们的尝试可能就是您在日志中看到的内容.仅仅因为尝试并不一定意味着发生入侵.

另请注意,您不一定会有数据被盗的证据.确定这一点的最佳方法是获取服务器日志并在当前服务器的副本上重播它们,检查是否收到任何数据.

标签：php,linux,mysql,database,code-injection
来源： https://codeday.me/bug/20190901/1780481.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。