【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 網站架設 / 免費空間 / 虛擬主機 專區 > ☉ -- 架 站 DIY 討 論 版


PCZONE 討論區



通知

☉ -- 架 站 DIY 討 論 版 有了寬頻後,可利用來架設 WWW / FTP / MAIL 等各種 SERVER,請在此版跟大家一起討論各種 SERVER 架設心得。

人不機車罔少年~機
【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB
使用 phpBB 架站必讀 SQL INJECTION in phpBB Profile.PHP

http://www.phpbb.com/

phpbb have a list of registereds users, when you click on a memebr of this list, you \ are requesting data to the database

for example:

http://www.example.com/forum/profile...iewprofile&u=2

this url show the information to the user with the uid = 2, the uid is a number \ assigned to users in phpbb.

but it isn't secure, because if you use this url, you can inject sql comands...

exploit:

http://www.example.com/profile.php?mode=viewprofile&u='[sqlcode]

where [sql code] represents the code may be injected.

回覆
會員

那該怎麼解決呢?
回覆
酷 拉 皮 卡

引用:
最初由 victorinoxs 發表
那該怎麼解決呢?
不過我記得 SQL Injection 的問題經常出現,
所以其實只要多注意更新系統就很安全囉~~~
不需要大驚小怪或是驚慌,
網路安全的秘訣之一就是隨時保持最新版本喲~~
回覆
會員

可是我反而常聽到
不要一直追求最新版
最新版未必最安全哩
回覆
進階會員

這定義可能不一樣吧......
curarpikt兄講的是Patch的漏洞修補
這種當然時常更新是正向發展囉
但是新出版/改版的軟體
有時候可能會因為programmer的疏忽
導致少許的bug抑或是漏洞
總不太可能有人寫出來的程式沒有bug吧

回覆
主題工具


類似的主題
主題 主題作者 討論版 回覆 最後發表
[問題]phpbb 註冊後發生的問題...... k0281 ☉ -- 架 站 DIY 討 論 版 10 2004-08-15 02:47 PM
【警告】使用 phpBB 架站必讀 SQL INJECTION in phpBB TAIWAN -- 防 駭 / 防 毒 版 1 2003-11-24 04:27 AM






 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。