SQL Injection又有人叫做SQL資料隱碼
日文是:SQLインジェクション
簡單說就是利用網頁程式的參數值過濾不完全
將值以及SQL語句帶入到資料庫執行
然後駭客就可以大大方方的存取該網站的資料@@
所以任何的網站在寫程式若沒有注意
就可能遭受莫大的所損失
相關資料可以參考一下下列網址:
- 《數位之牆》台灣網站遭受有史以來最大量SQL Injection 攻擊
- SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上)
- 『資料隱碼』SQL Injection的源由與防範之道
- 游擊式的SQL Injection攻擊
在前幾天的ec-cube官網中發布了這一篇文章
看來駭客的初角也伸進了這個在日本一時間竄起的無料CMS
老闆今天也特別跟我討論了一下對於這個問的解決方法
是不是要把現行的2.1.2升級到2.3.0
不過其實現在最新的版本已經是2.3.2了
最近由於一些安全性的問題
EC-CUBE官方還蠻重視的…沒幾天就有升級的動作
一出新版就要趕上還蠻辛苦的
而最主要的原因是為了應印老闆的要求
已經對資料庫跟檔案做了許多修改
現在要升級真的不太可行
所以只好定時去看看官方發現的漏洞自己補一下囉@@