В wp-ajax.php обнаружена возможная ошибка слепого внедрения SQL-кода
Нужно предложение / помощь о том, как применить обходной путь к проблеме SQL-инъекции, найденной на моем сайте WordPress. Я гуглил, но все еще не мог найти правильного решения той же проблемы.
Уязвимый URL: /wp-admin/admin-ajax.php?action=search1&searchval=--9999
В идеале это не должно давать никаких результатов, но я получаю следующие ответы.
Версия WP: версия 5.0.3
Сервер: Windows Server 2012 R2 / IIS8
2 ответа
Решение
Спасибо за ваши комментарии. Я смог решить эту проблему, добавив проверку целочисленных значений.
Самое простое решение, только для этого одного параметра searchval было бы проверить, если это числовое значение, используя is_numeric() Встроенная функция PHP.