PHP开源专案ADOdb 没想到SonarQube不管是在Moodle或VtigerCRM专案上都找到了SQL注入漏洞,进一步检查才发现该漏洞其实隐藏在ADOdb资料夹中。 当程式使用ADOdb连结到PostgreSQL资料库时,如果开发人员在呼叫pg_insert_id() 函数时,使用了用户所提供的资料,却没有正确地转义处理,便可能触发
没想到SonarQube不管是在Moodle或VtigerCRM专案上都找到了SQL注入漏洞,进一步检查才发现该漏洞其实隐藏在ADOdb资料夹中。
当程式使用ADOdb连结到PostgreSQL资料库时,如果开发人员在呼叫pg_insert_id() 函数时,使用了用户所提供的资料,却没有正确地转义处理,便可能触发