【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB

可列印頁面

2003-11-23, 10:01 PM
TAIWAN

【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB

使用 phpBB 架站必讀 SQL INJECTION in phpBB Profile.PHP

[url]http://www.phpbb.com/[/url]

phpbb have a list of registereds users, when you click on a memebr of this list, you \ are requesting data to the database

for example:

[url]http://www.example.com/forum/profile.php?mode=viewprofile&u=2[/url]

this url show the information to the user with the uid = 2, the uid is a number \ assigned to users in phpbb.

but it isn't secure, because if you use this url, you can inject sql comands...

exploit:

[url]http://www.example.com/profile.php?mode=viewprofile&u=[/url]'[sqlcode]

where [sql code] represents the code may be injected.
2003-11-24, 04:27 AM
victorinoxs

那該怎麼解決呢？
2003-11-25, 02:02 AM
curarpikt

[QUOTE][i]最初由 victorinoxs 發表[/i]
[B]那該怎麼解決呢？ [/B][/QUOTE]

不過我記得 SQL Injection 的問題經常出現，
所以其實只要多注意更新系統就很安全囉~~~ :D
不需要大驚小怪或是驚慌，
網路安全的秘訣之一就是隨時保持最新版本喲~~
2003-11-26, 06:07 PM
fatwa

可是我反而常聽到
不要一直追求最新版
最新版未必最安全哩
2003-11-29, 11:34 PM
jessee780522

這定義可能不一樣吧......
curarpikt兄講的是[COLOR=BLUE][B]Patch的漏洞修補[/B][/COLOR]
這種當然時常更新是正向發展囉:)
但是[COLOR=BLUE][B]新出版/改版的軟體[/B][/COLOR]
有時候可能會因為programmer的疏忽
導致少許的bug抑或是漏洞
總不太可能有人寫出來的程式沒有bug吧;)