SQL注入入侵

使用的阿里云的主机，云盾检测到这样的提示，并且给出了修复建议。

1. PHP
   
2. 问题代码示例：
   
3. <?php
   
4. $id=$_GET['id'];
   
5. $conn = mysql_connect("localhost","root","") or die ("wrong!");
   
6. $sel=mysql_select_db("mydb",$conn);
   
7. $sql="select * from user where id = ".id
   
8. $que=mysql_query($sql,$conn);
   
9. ?>
   
10. 修复范例：
    
11. <?php
    
12. $id=$_GET['id'];
    
13. $conn = mysql_connect("localhost","root","") or die ("wrong!");
    
14. $sel=mysql_select_db("mydb",$conn);
    
15. $sql="select * from user where id = :id"
    
16. $stmt = $conn->prepare($sql);
    
17. $stmt->execute(array(':id'=>$id));
    
18. ?>
    

复制代码

请问这个如何修改，以及是不是bug？风险如何？还是云盾web漏洞检测过于严格了？
怎么处理才能使程序安全？
谢谢！

该问题我们稍后核查下！

m.king 发表于 2012-8-17 17:58
该问题我们稍后核查下！

谢谢，希望尽快得到解决

按理说 action 这个变量只用来做条件判断不会用于更新数据库。怎么会有注入点呢

阿里云服务器这么强大，还可以自行检测漏洞？

楼主用360网站安全检测过没有？

你提供的问题代码是他自己的代码。不是官方程序问题。

验证码那个脚本根本没有SQL语句，验证码就显示图片 。
那种注入方法是不可能实现的。

不需要调用SQL

岔题一下，阿里云服务器好吗？ 性价比如何啊？  

既然看了,顶一个吧，好帖子