Menu

10.4. 系统安全

系统安全

对于一个电商系统来说,安全性是一个很重要的指标,因为涉及到金钱交易,如果出现重大安全漏洞可能导致经济上的损失。

本章节将要介绍网站的常见漏洞类型及原理,以及对我们的电商系统的安全检查。

1. SQL 注入漏洞

SQL 注入是最古老、最流行同样也是危害最大的漏洞之一,这个漏洞的核心就一句话:将未经过滤的用户输入拼接到 SQL 语句中。

举个例子:

$product = DB::select("select * from products where id = '".$_GET['id']."'");

这个时候用户提交的 id 如果是 1 and 1 = 2,那么最终被执行的 SQL 就是

select * from products where id = 1 and 1 = 2

很明显这个 SQL 查出来的结果必然为空,那么页面就会显示该商品不存在。

但仅仅是这样感觉好像没有什么危害,那这个时候攻击者提交的 id 参数变成了:

1 and exists (select * from admins where name = 'admin')

本文章首发在 Laravel China 社区

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
讨论数量: 1

Flourishing
增加余额的方法?
1 个点赞 | 1 个回复 | 问答
刻意练习,每日精进。
16
点赞
1333
浏览
1
讨论