 Lid |
|
Hallo,
Ik laat mijn website onderzoeken op veiligheid door het programma 'Websecurify scanner'. Deze geeft het volgende aan:
'SQL Injection (SQLI) is a code injection technique that exploits a security vulnerability occurring in the database layer of a web application. The vulnerability was present when user input was either incorrectly filtered for string literal escape characters embedded in SQL statements or user input was not strongly typed and thereby unexpectedly executed.
solution: Sanitize all user-supplied data before using it as part of database queries.'
Hij geeft dit aan op de volgende URL:
GET http://www.*****.nl/index.php?pagina=standaard_groep&cat=9&groep_id='%60%22xEsOS HTTP/1.1
Nu moet 'groep_id' een nummer zijn, ik controleer dat vooraf alsvolgt:
if (isset($_GET['groep_id']) && !ctype_digit($_GET['groep_id'])) {
exit();
} else {
// code die uitgevoerd moet worden
}
} else { // code die uitgevoerd moet worden }
Toch blijft hij deze boodschap geven... iemand een idee waar het veiligheidslek dan in kan zitten, of maak ik me druk om niets?
Alvast bedankt,
Mark
|
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
Actiefste leden van de maand
