交流 关于xenforo SQL注入

[SHIJIATONG]

如题xenforo有自带的SQL保护吗

 

[阿尔温特]

这条消息可能是跨时空，回复一下：
sql注入 xss注入啥的在waf就拦下来，我就不说你套cdn什么的，就比如说自部署的宝塔WAF：


各种指令注入啥的都能拦。
其次才是后端去做防护，而且我不认为使用waf还能被注入攻击穿盾。

况且xf这种体量的论坛程序，肯定会有措施。

 

[诠释]

这条消息可能是跨时空，回复一下：
sql注入 xss注入啥的在waf就拦下来，我就不说你套cdn什么的，就比如说自部署的宝塔WAF：
浏览附件9663

各种指令注入啥的都能拦。
其次才是后端去做防护，而且我不认为使用waf还能被注入攻击穿盾。

况且xf这种体量的论坛程序，肯定会有措施。

xf在数据库查询时不是直接用的sql语句，而是封装好的orm，查询只涉及到参数，天然防sql注入