我的问题是,如何才能防止 mysql 数据库中的恶意搜索短语?
搜索词垃圾邮件示例:guayabera en espa�a//?option=com_product//catalog/seo_sitemap/account//index2.php?option=c
我正在考虑在 PHP 中通过阻止带有该?字符的查询来实现这一点。或者可能只是阻止 IP 地址使用搜索功能。有更好的方法吗?
答案1
Magento 对注入攻击和 XSS 有一定的支持,但在过去的几个版本中都受到了攻击,所以不要依赖它具有足够的独立保护。
考虑在您的服务器上添加一个 Web 应用程序防火墙 (naxsi),结合 IPS/IDS 防火墙 - 这将为您和您的客户增加额外的保护。
与您的主机沟通,任何专门的 Magento 主机都会有这方面的规定,如果没有,请更换主机。
答案2
Magento 已经有很多代码来保护您免受此类攻击。保护自己的最佳方法是继续使用最新版本和构建的 Magento。(一旦发现缺陷,Magento 就会修复它们。)
最大的危险是让 Magento(或任何其他应用程序)的旧版本运行数年。它们都存在缺陷,保持相对安全的唯一方法是保持更新。