WordPress SQL 注入 URL 参数
WordPress SQL Injection URL parameter
我写了一个非常小的 WordPress 应用程序,它使用 URL 参数值在 public 网站上生成 html 内容,如下所示:
URL 示例:
www.mydomain/?prmtr=Chicago
代码:
$prmtr = isset( $_GET['prmtr'] ) ? $_GET['prmtr'] : 'NewYork';
一个可能的 HTML 集成是这样的
<h1>Hello Person from <?php echo $prmtr; ?></h1>
WordPress 是否为我做了所有 "dirty work",比如防止攻击者注入 SQL 命令或其他内容?
提前致谢,
本
没有。这是原始的 PHP 你已经到了那里。你必须自己保证安全。
只要您对 $prtmr 所做的只是将其打印出来,您就无需担心 SQL 注入,只需担心 XSS 攻击。
我写了一个非常小的 WordPress 应用程序,它使用 URL 参数值在 public 网站上生成 html 内容,如下所示:
URL 示例:
www.mydomain/?prmtr=Chicago
代码:
$prmtr = isset( $_GET['prmtr'] ) ? $_GET['prmtr'] : 'NewYork';
一个可能的 HTML 集成是这样的
<h1>Hello Person from <?php echo $prmtr; ?></h1>
WordPress 是否为我做了所有 "dirty work",比如防止攻击者注入 SQL 命令或其他内容?
提前致谢, 本
没有。这是原始的 PHP 你已经到了那里。你必须自己保证安全。
只要您对 $prtmr 所做的只是将其打印出来,您就无需担心 SQL 注入,只需担心 XSS 攻击。