【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB

TAIWAN

使用 phpBB 架站必讀 SQL INJECTION in phpBB Profile.PHP

http://www.phpbb.com/

phpbb have a list of registereds users, when you click on a memebr of this list, you \ are requesting data to the database

for example:

http://www.example.com/forum/profile...iewprofile&u=2

this url show the information to the user with the uid = 2, the uid is a number \ assigned to users in phpbb.

but it isn't secure, because if you use this url, you can inject sql comands...

exploit:

http://www.example.com/profile.php?mode=viewprofile&u='[sqlcode]

where [sql code] represents the code may be injected.

victorinoxs

那該怎麼解決呢？

curarpikt

引用:

最初由 victorinoxs 發表
那該怎麼解決呢？

不過我記得 SQL Injection 的問題經常出現，
所以其實只要多注意更新系統就很安全囉~~~

不需要大驚小怪或是驚慌，
網路安全的秘訣之一就是隨時保持最新版本喲~~

fatwa

可是我反而常聽到
不要一直追求最新版
最新版未必最安全哩

jessee780522

這定義可能不一樣吧......
curarpikt兄講的是Patch的漏洞修補
這種當然時常更新是正向發展囉

但是新出版/改版的軟體
有時候可能會因為programmer的疏忽
導致少許的bug抑或是漏洞
總不太可能有人寫出來的程式沒有bug吧

類似的主題
主題	主題作者	討論版	回覆	最後發表
[問題]phpbb 註冊後發生的問題......	k0281	☉ -- 架站 DIY 討論版	10	2004-08-15 02:47 PM
【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB	TAIWAN	-- 防駭 / 防毒版	1	2003-11-24 04:27 AM

fatwa 會員	可是我反而常聽到不要一直追求最新版最新版未必最安全哩
	回覆

jessee780522 進階會員	這定義可能不一樣吧...... curarpikt兄講的是Patch的漏洞修補這種當然時常更新是正向發展囉但是新出版/改版的軟體有時候可能會因為programmer的疏忽導致少許的bug抑或是漏洞總不太可能有人寫出來的程式沒有bug吧
	回覆