如何判斷PHP源碼是否存在SQL注入漏洞？要確定是否存在SQL注入，首先要找到可能的注入點(diǎn)；例如，common get、post，甚至cookie，將參數(shù)傳遞給PHP，然后將參數(shù)拼接到SQL中。如果后

如何判斷PHP源碼是否存在SQL注入漏洞？

要確定是否存在SQL注入，首先要找到可能的注入點(diǎn)；例如，common get、post，甚至cookie，將參數(shù)傳遞給PHP，然后將參數(shù)拼接到SQL中。如果后端未經(jīng)驗(yàn)證和過(guò)濾就接收到參數(shù)，則可能發(fā)生注入。例如xxx.com？id=321，id可能是注射點(diǎn)。

說(shuō)白了，不要相信用戶的輸入，嚴(yán)格檢查用戶控制的參數(shù)。注意嚴(yán)格檢查！很容易繞過(guò)空格或特殊字符的簡(jiǎn)單替換。

如果您已經(jīng)擁有原始代碼，您可以審核代碼并逐一檢查。您還可以構(gòu)建本地環(huán)境，并使用諸如sqlmap之類的自動(dòng)化工具來(lái)檢測(cè)鏈接。

個(gè)人理解僅供參考，如有偏頗希望批評(píng)指正！