脚本宝典收集整理的这篇文章主要介绍了PHP(不推荐使用)mysql模块与MySQLi和PDO的漏洞,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
将此应用程序转换为MysqLi或PDO将是一项相当大的任务(并且为了避免意外破坏,而不是我想要自动化).所以最后我的问题:在使用旧的MysqL模块,哪些需要迁移到较新的模块时,是否有任何特定的漏洞无法缓解?
赏金信息:
要清楚,我希望列出一个CVE号码或PHP开发人员的声明,即MysqL模块针对所有已知的漏洞进行修补,因为这样的日期.我也假设在使用该模块时遵循最佳当前做法不会让我感到额外的攻击向量. BCP已经包含从db中取出的数据,然后将其插入新的语句.关于这一点,并没有真正解决这个问题.
>所有用户输入都是转义是一个严重的错误,导致second order injection.“sql的所有动态数据”是正确的方法和措辞
>你的帖子中没有提到identifiers,但我不敢相信自2007年以来,您的代码中没有查询动态标识符.
还有一个轻微的不便:在几年(3-4可能),您的PHP将开始发出E_DEPRECATED级错误.但他们可以简单地关闭.
无论如何,只是从一个API到另一个API的机械移动将不会有太大的意义.
重构您的sql处理代码只是为了利用一些抽象机制,无论是ORM,AR,QueryBuilder还是从应用程序代码中擦除原始API调用的其他技术.它不仅会使您的代码不那么blo肿,而且还将使其独立于将来会对PHP开发人员造成的任何其他错误.
回答编辑过的问题.
旧的MysqL ext中没有必要的漏洞.常用的唯一方法是易受攻击和容易出错.所以,不要在模块上寻找应变,更好地审核你的代码.如果没有使用集中式的库来进行@L_126_40@交互,那么很可能它是易受攻击的.
以上是脚本宝典为你收集整理的PHP(不推荐使用)mysql模块与MySQLi和PDO的漏洞全部内容,希望文章能够帮你解决PHP(不推荐使用)mysql模块与MySQLi和PDO的漏洞所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。