網站漏洞檢測 wordpress sql注入漏洞代碼審計與修復

1、wdpress系統本身代碼，很少出現sql注入漏洞，反倒是第三方的插件出現太多太多的漏洞，我們發(fā)現，僅僅2019年9月份就出現8個插件漏洞，因為第三方開發(fā)的插件，技術都參差不齊，對安全方面也不是太懂導致寫代碼過程中沒有對sql注入，以及xss跨站進行前端安全過濾，才導致發(fā)生sql注入漏洞。目前發(fā)現的wdpress漏洞插件，AdRotate廣告插件，NextGENGallery圖片管理插件，Give贊賞插件，這些插件使用的網站數量較多，因

2、為開源，免費，功能強大，使用簡單，深受眾多站長們的喜歡，關于該網站漏洞的詳情我們來詳細的給大家分析一下：看下圖的代碼在前端進行輸入的時候，可以插入惡意的sql注入代碼，如果后端沒有對前端輸入進來的參數值進行安全過濾攔截，那么就會導致sql注入漏洞的發(fā)生，我們來看上面的一段代碼。該代碼在寫的時候，會將get中的ID，傳入后數據庫中進行查詢，沒有做任何的安全過濾導致sql注入，在wdpress最新版中以及將get、post、cookies、

3、提交的方式進行了安全攔截，對一些非法的字符與sql注入攻擊語句加強過濾，但是還是被繞過，導致sql注入的發(fā)生，就拿adrotate插件來說，在dashboard目錄下的publisher文件夾下的advertsedit.php代碼中第46行：關于wdpress漏洞修復辦法，建議插件的開發(fā)公司在對代碼編寫過程中，對用戶的輸入，以及提交，getpost等請求進行全面的安全過濾與安全效驗，及時的更新wdpress的版本以及插件版本升級，定期對