使用原生sql拼接查询时,如果不处理输入的内容会有注入漏洞,用sqlmap可注入
比如:
$sql='search='.$search;
Db::name('table')->where($sql)->select();
要杜绝这种写入,使用参数绑定或者数组的方式查询
一旦用sqlmap扫出漏洞,那数据全部内容就都暴露了,如果服务器再有漏洞,那可以直接拿到服务器权限了
Thinkphp6查询漏洞
「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」
(๑>ڡ<)☆谢谢老板~
使用微信扫描二维码打赏