WordPress SQL注入URL参数

I wrote a very little WordPress application that uses URL parameter values to generate html content on a public site like this:

URL example:

www.mydomain/?prmtr=Chicago

Code:

$prmtr = isset( $_GET['prmtr'] ) ? $_GET['prmtr'] : 'NewYork';

A possible HTML integration is like this

<h1>Hello Person from <?php echo $prmtr; ?></h1>

Is WordPress doing all the "dirty work" for me, like preventing attackers from injecting SQL commands or other stuff?

Thanks in advance, Ben

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dragon8837 2015-06-03 08:29
关注
Nope. That's raw PHP you've got there. You'll have to make it safe yourself.

As long as all you're doing with $prtmr is printing it out you don't need to worry about SQL injection, just XSS attacks.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

在wordpress中重写URL 2次 php
2018-10-18 19:37

回答 1 已采纳 Try combine: function rewrite_state_url(){ add_rewrite_rule('^get-help/([^/]*)/([^/]*)/([^/
PHP / Wordpress / Woocommerce：防止读取url参数 php
2014-08-02 19:12

回答 1 已采纳 Alright, solved it, sort of. No GET Requests will go through on that particular parameter. Edit c
检查WordPress functions.php中的URL php
2018-01-17 07:57

回答 1 已采纳 Try like this. global $post; $pageUrl = get_permalink($post->ID); if (!(is_user_logged_in())
WordPress插件SQL注入漏洞——漏洞复现
2020-11-25 14:34

W小哥1的博客复现过程环境地址：...访问目标网站常规工具AWVS扫描是扫不出来漏洞的第一步识别CMS ... wpscan --url http://219.153.49.228:47712/ 给API的token才能将结果输出 ...
多选从wordpress sql mysql php sql
2015-08-25 15:52

回答 1 已采纳 You can use OR: $wpdb->get_row( " SELECT * FROM $wpdb->posts WHERE (post_type = 'post' OR p
在Wordpress中自定义URL的形成 php
2015-07-07 15:29

回答 1 已采纳 You can put the artist name in a Custom Field, and then use some plugin to execute PHP in the post
在wordpress sql中更新两行 mysql php
2015-11-13 08:47

回答 2 已采纳 UPDATE $wpdb->options SET option_value = 'twentyfifteen' WHERE option_name in ('template', 's
sql注入漏洞复现
2024-08-06 00:59

怎么都跑不快的博客 2个办法，继续把多出来的单引号闭合或者注释mysql注释符：–空格（%20） # /***/ */ #会被浏览器编码，所以要写成%23你需要知道联合查询的列数，求当前表的列数（我们用注入获取数据库中的数据。在进行联合查询前，...
wordpress url使用php解析 - 解析为php变量 php
2013-08-06 18:32

回答 2 已采纳 To grab the "page name" <?php // gets you the path after http://www.yourdomain.com $path = $_
在wordpress页面上使用SQL mysql php
2017-04-24 22:03

回答 2 已采纳 WordPress.org has a lot of detailed information in their reference. I think attempting to refer t
用php从sql表中提取列 mysql php sql
2017-09-14 15:11

回答 2 已采纳 probably you need nested loops, you are getting result probably like this array( 0:{column1
玩转代码|wordpress过滤函数使用方法（防止sql注入）
2022-11-05 22:13

Jum朱的博客默认协议的 URL : defaulting to http、https、ftp、ftps、mailto、news、irc、gopher、nntp...用法: esc_sql( $data );用法: esc_js( $text );返回值: (字符串)返回过滤后的字符串.返回值: (字符串)返回转义后的字符.
admin.php wordpress,Wordpress admin-ajax.php远程SQL注入漏洞
2021-04-11 09:50

信浮沉的博客 WordPress实现上存在输入验证漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击非授权访问数据库。WordPress的wp-admin/admin-ajax.php文件没有正确验证对cookie参数的输入。在wp-admin/admin-ajax.php的6行：--------...
详解WordPress中过滤链接与过滤SQL语句的方法
2020-10-23 02:59

其中两个关键的函数是`esc_url()`和`esc_sql()`，它们分别用于过滤URL和SQL语句，防止不安全协议的使用以及SQL注入攻击。 `esc_url()`函数是用来处理和过滤URL的工具，它的主要目标是消除URL中的错误，拒绝不安全的...
使用日志进行调查 - SQL 注入攻击示例
2022-07-30 09:00

allway2的博客通常，攻击的证据包括对隐藏或异常文件的直接访问、在有或没有身份验证的情况下访问管理区域、远程代码执行、其中一个日志被包含大量SQL命令的记录轰炸，这些命令清楚地表明对似乎是与SQL服务器一起使用的自定义插件...
没有解决我的问题, 去提问

悬赏问题

¥15 DS18B20内部ADC模数转换器
¥15 做个有关计算的小程序
¥15 MPI读取tif文件无法正常给各进程分配路径
¥15 如何用MATLAB实现以下三个公式（有相互嵌套）
¥30 关于#算法#的问题：运用EViews第九版本进行一系列计量经济学的时间数列数据回归分析预测问题求各位帮我解答一下
¥15 setInterval 页面闪烁，怎么解决
¥15 如何让企业微信机器人实现消息汇总整合
¥50 关于#ui#的问题：做yolov8的ui界面出现的问题
¥15 如何用Python爬取各高校教师公开的教育和工作经历
¥15 TLE9879QXA40 电机驱动

WordPress SQL注入URL参数

1条回答 默认 最新

悬赏问题

1条回答默认最新