任务详情
1、升级 DocCMS.网站到最新版本 2、所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SOL 语句中。当前几乎所有的数据库系统都提供了参数化 SOL 语句执行接口,使用此接口可以非常有效的防止SOL 注入攻击。 3、对进入数据库的特殊字符("尖括号&*等)进行转义处理,或编码转换 4、过滤危险字符,如 mid0、limit0、SoncatOconcat ws0 、group concat0count0) 、rand0、floor0、substr0等 5、严格限制变量类型,比如整型变量就采用 imtval0函数过滤,
