这是一个创建于 2794 天前的主题,其中的信息可能已经有所发展或是发生改变。
在网上搜索 PDO 相关信息,基本上清一色看到能避免拖库风险,最多再说一句诸如某个版本以下的 PDO 有风险,要用更高版本的。
那么假如说现在有一个网站,所有数据库操作全是基于 PDO 的,没有任何手动拼接 SQL 语句的操作,对外只开放 80 端口,不考虑内鬼往代码里加后门这种情况,是不是就不存在注入风险了?会不会依然被拖库呢?
那么假如说现在有一个网站,所有数据库操作全是基于 PDO 的,没有任何手动拼接 SQL 语句的操作,对外只开放 80 端口,不考虑内鬼往代码里加后门这种情况,是不是就不存在注入风险了?会不会依然被拖库呢?
 |
1
UnisandK 2017-03-23 14:43:57 +08:00
然后被旁注了(逃
|
 |
2
akira 2017-03-23 14:51:38 +08:00
只能说会好很多
|
 |
3
Felldeadbird 2017-03-23 14:56:41 +08:00
我记得是 5.3.8 及以上版本就没问题了,并且要禁止本地模拟 预处理。基本可以防止注入了。
但是还有 XSS ,其他软件端口公开,弱口令,禁用高权限账号什么的。。 |
 |
4
ylsc633 2017-03-23 15:24:46 +08:00
如果数据库所在的服务器 ...........
|
 |
5
surfire91 2017-03-23 16:57:53 +08:00
注入与被脱裤不能划等号
|
|
6
surfire91 2017-03-23 16:59:16 +08:00
接上,而且跟 PDO 没有直接关系,防注入是依赖参数绑定,这个不止 PDO 支持, mysqli 也支持。
|
 |
7
changwei 2017-03-23 17:08:58 +08:00 via Android
入侵网站的本质是拿到 webshell 或者提权,如果还有上传漏洞或者其他方式可以写入 webshell ,或者 ssh , 3389 的密码都是弱口令,那也不安全。
|
 |
8
hasdream 2017-03-23 17:59:04 +08:00 via Android
不拼接 sql 能解决百分之 99 的注入
|
 |
9
lsido 2017-03-24 02:21:01 +08:00 via Android
PDO 基本能解决注入问题,脱裤不止注入
|
 |
10
aksoft 2017-03-24 08:35:58 +08:00
你项目的价值还没有安全的价格高。。。
|
 |
11
lan894734188 2017-03-24 09:12:47 +08:00 via Android
比如 redis 绑定了 0.0.0.0 有漏洞的版本一样可以脱裤 pdo 只是防止注入而已
|
Select Language