帝国论坛帝国网站管理系统交流区帝国CMS使用交流[求助]结合项被大量SQL注入,导致大量非法外链 网监要求处理 【本版专题贴子】  
 3/4    |‹ ‹‹ 1 2 3 4 ›› ›|
主题:[求助]结合项被大量SQL注入,导致大量非法外链 网监要求处理 [加入收藏夹]   

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 21 楼]

原帖由 pw8 于 2015-01-22 09:23:38 发表
再就是你这个和sql注入半毛钱关系都没有,标题该改改了

我用阿里云,阿里云云盾提示我们这是sql注入。呵呵。


不好意思说!
2015-01-22 09:26:33 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 22 楼]

原帖由 pw8 于 2015-01-22 09:24:30 发表

只要是用$_GET都可以改

还是删除$_GET调用吧


不好意思说!
2015-01-22 09:42:42 已设置保密 顶部 回复 引用 报告 编辑 删除

pmume
用户头衔:探花

精华贴   :0
发贴数   :3758
经验值   :10108
注册时间:2009-12-22
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 23 楼]

可以采用折中的办法。加个人工过滤:

$mytitle=$_GET[title];

if(strpos($mytitle,'开奖')!==false){
exit;
}

只要标题包含“开奖”这个词,直接停止运行,或者返回404状态。

页面标题用$mytitle

[该贴被修改 1 次,最后修改时间 2015-01-22 10:17:53 ]


东坡网 DP1037.com

帝国CMS二次开发、插件定制、性能优化、帝国站群

QQ:2253145337 帝国站长互助QQ群:308293433
2015-01-22 10:17:23 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 24 楼]

原帖由 pmume 于 2015-01-22 10:17:23 发表
可以采用折中的办法。加个人工过滤:

$mytitle=$_GET[title];

if(strpos($mytitle,'开奖')!==false){
exit;
}

只要...

试试。非常感谢。


不好意思说!
2015-01-22 10:20:54 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 25 楼]

原帖由 pmume 于 2015-01-22 10:17:23 发表
可以采用折中的办法。加个人工过滤:

$mytitle=$_GET[title];

if(strpos($mytitle,'开奖')!==false){
exit;
}

只要...

从你这个思路,我想实现这样功能,例如我现在结合项/e/action/ListInfo.php?&classid=xxx&ph=1&title=xxxx是这样,现在xxxx限制只有输出是北京、上海、重庆、天津、河北、山东等31个省市,因为我结合项是这样输出的,如果不是这些31个省市名称,就直接跳转404页面。哪怕多一个字或少一个字,都不能输出。


不好意思说!
2015-01-22 17:26:29 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 26 楼]

我觉得结合项都是通过这个方式输出的,
结合项是这样设定的:        $fieldandval['title']='<strong>浏览:</strong>|==|全部,##北京,北京##天津,天津##河北,河北##山西,山西##湖北,湖北##江苏,江苏##安徽,安徽##山东,山东##上海,上海##浙江,浙江##江西,江西##福建,福建##湖南,湖南##宁夏,宁夏##黑龙江,黑龙江##四川,四川##重庆,重庆##贵州,贵州##云南,云南##辽宁,辽宁##吉林,吉林##广东,广东##广西,广西##海南,海南##陕西,陕西##甘肃,甘肃##新疆,新疆##青海,青海##西藏,西藏##兵团,兵团##内蒙古,内蒙古##河南,河南';


不好意思说!
2015-01-22 17:28:43 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 27 楼]

从pmume 的23楼思路看,应该可以把目前结合项进行改进下,哪怕是模糊方式查询。
另外从pw8思路删除$_GET变量调用,可以解决大问题,但对seo优化不够有好。


不好意思说!
2015-01-22 17:33:01 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 28 楼]

pmume楼主,在吗?如何实现?


不好意思说!
2015-01-22 17:38:24 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 29 楼]



不好意思说!
2015-01-22 17:46:47 已设置保密 顶部 回复 引用 报告 编辑 删除

fzs
用户头衔:探花

精华贴   :0
发贴数   :2345
经验值   :7070
注册时间:2008-06-25
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 30 楼]



不好意思说!
2015-01-24 09:49:27 已设置保密 顶部 回复 引用 报告 编辑 删除
 3/4    |‹ ‹‹ 1 2 3 4 ›› ›|

快速回复
内容

表情
使用EBB代码 使用smile代码 显示签名 自动分析url 自动分析img
     【进入高级模式】   (按 Ctrl+Enter 直接提交)
    顶部  加入收藏夹
关于帝国 | 广告服务 | 联系我们 | 法律声明 | 隐私条款 | 许可协议
Powered by: EBB Version 2.2.1