我正在创建一个使用 perl 脚本、PHP、MySQL 数据库和 HTML 的网站。我主要关心的是确保任何人都无法访问任何可以让他们访问我的信息的东西。我的意思是是否有人可以获取我的 perl 脚本并查看我的数据库信息。我了解 sql 注入,但我没有可输入信息的表格。对于这些东西我有什么应该记住的吗?
无论如何有人可以获取我的 perl 脚本并查看我的数据库信息
仅当网络服务器不解析/处理脚本并将其作为纯文本返回时,才会发生这种情况。通常这种解析/处理仅发生在特定的文件扩展名上,例如.pl
对于 perl 文件和.php
对于 PHP 文件。如果您(或黑客)将其重命名为.txt
,客户端将能够以明文形式获取整个脚本。然而,如果黑客能够重命名它,那么它无论如何都可以访问整个脚本。然后,这可以通过 FTP 或 CMS 中的安全漏洞来完成。
此外,我还看到过一些脚本根据路径作为参数从(外部)webapp 上下文读取文件(通常是图像或其他静态文件)。例如。download.php?filename.ext
如果这样的脚本不对文件路径进行任何健全性检查,聪明的黑客可能能够通过以下方式获取明文脚本:download.php?%2Fserver%2Fhtdocs%2Fscript.php
.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)