Я запустил проверку безопасности на моем веб-сайте, и теперь я получаю следующие предупреждения:
Слепой SQL-ввод HTTP-заголовок Ввод Client-IP был установлен в
(Выберите (0) из (выберите (сон (0))) v) / + (выберите (0) из (выберите (сон (0))) v) + ' "+ (выберите (0) из (выберите (сон (0))) v) + " /
Мой URL с проблемой:
....category/category.php?cat=1&pn=1
SQL-инъекция для этого URL:
....category/category.php?cat=10&pn=%f0''%f0""
У меня на сайте есть скрипт безопасности, который блокирует все SQL-инъекции и перенаправляет.
$cat = mysqli_query($connection, "SELECT * FROM categories");
$cate = mysqli_real_escape_string($connection, @$_REQUEST['cat']);
$product = mysqli_query($connection, "SELECT * FROM articles WHERE category='$cate' $limit ");
// show article only with category choose
while($row = mysqli_fetch_assoc($product)) {
$id_article = $row['id'];
$user_article = $row['user_id'];
$pic_article = $row['ppicture'];
$tit_article = $row['title'];
$descri_article = $row['description'];
$descri_sh_article = $row['description_sh'];
$pri_article = $row['price'];
Но это безопасно, если я доверяю только сценарию безопасности или я должен его решить?
Кто-нибудь знает, как я могу заблокировать этот запрос в URL, может быть, с помощью файла htaccess?
Большое спасибо