[技術] checkmarx弱掃修補

Second Order SQL Injection
取出的值未經過濾或驗證,該值再使用於資料庫查詢
修補方式:對取出的值做檢查
原為
return $article_no;
改為
return (int)str_replace(",", "", $article_no);
參考資料:
https://www.itread01.com/articles/1476210031.html
https://codertw.com/%E7%A8%8B%E5%BC%8F%E8%AA%9E%E8%A8%80/528220/
https://www.qa-knowhow.com/?p=4242

Stored XSS
原為
echo $message;
改為
echo htmlspecialchars($message, ENT_QUOTES);
參考資料:
https://www.qa-knowhow.com/?p=2992
https://ithelp.ithome.com.tw/questions/10189316

Insecure Randomness
因使用rand()或str_shuffle()函數被檢測出需修補
修補方式:
原為 
substr(str_shuffle('0123456789'), 0, 3);
改為 
random_int(100, 999);  //取3位數 數字

參考資料:
https://www.soliantconsulting.com/blog/secure-randomness-php/
https://www.php.net/manual/en/function.random-int.php

 其他參考資料:
叡揚資訊-應用系統面臨多元資安風險之教戰手則(下)
https://www.gss.com.tw/eis/161-eis85/1672-eis85-9

這個網誌中的熱門文章

[體驗] 婚後孕前健康檢查-雙和醫院

新北政府補助婚後孕前健康檢查,夫妻準備進入人生另一階段前,可以免費去檢查一些基本項目 以下分享這個檢查的相關資訊: 1.補助對象:夫妻任一方為新北市民,補助1次已結婚尚未懷第一胎之夫妻雙方檢查費用 詳細資訊可查: https://www.health.ntpc.gov.tw/content/?parent_id=10587 2.確認要去檢查的醫院或診所(有些診所無精液檢查項目,建議選定檢查的院所後,先撥打電話詢問相關事宜) 我選定離住家較近的雙和醫院,所以先致電醫院詢問:要做新北政府補助的婚後孕前健康檢查要如何預約? 詢問醫院人員得到的回覆為:夫妻一起掛號家醫科即可。 所以我們直接網路掛號,夫妻一起網路掛號家醫科同一時間同一醫師(2個人都要掛號喔) 3.檢查當天相關事宜: 項次 項目 說明 1 攜帶 戶口名簿影本(夫妻若都為新北市民,只要其中有一個人帶即可)、雙方身份證(批價時會看)、雙方健保卡 2 醫院掛號 因為我們已經網路掛號了,所以到診間門口插入健保卡報到即可,若為初診會報到不成功,要先去1樓填初診單。 (因為我們其中有一個人是初診,所以要去醫院1樓大廳志工服務台填寫初診單,再去1樓批價處11或12櫃台排隊初診單建檔,建檔完畢初診的那個人再去診間門口插入健保卡報到) 3 候診 報到完畢後,若有看到該診間護理師出來,可先和護理師表明是來看 新北市政府補助的婚後孕前健康檢查,護理師會先拿婚後孕前健康單 給檢驗人填寫 (夫妻各填一張,會問家族病史,女生初經/經期相關資訊,因為要填寫血壓/身高/體重,需要到附近的儀器插健保卡量測,所以建議1人去量,1人先在診間外等,避免到號不知道) 4 看診 填寫完單子,等叫號進入診間,夫妻2個人同時進入,醫師會分別詢問狀況,確認後開立驗血/驗尿/驗精液(男生才有)檢驗單。 (之前看其他前輩分享也有做子宮頸抹片檢查,但我們的醫生沒有說要做,我們也忘了詢問,不確定是否考量女生經期剛過,所以不適合做抹片檢查) 5 批價 護理師會給相關單據告知要先批價 (本次費用全由政府補助,所以要到 1樓大廳抽號人工櫃台批價 ,繳交一開始填寫的婚後孕前健康單就免繳費), 但下次回診聽報告時就需要正常掛號費+診療費,1人約300多(醫生問診時會也告知),...
閱讀完整內容

[linux] 指令(含mysql備份還原)、git指令、sourcetree驗證

連線工具 Xshell  https://www.xshell.com/zh/free-for-home-school/ ===== linux指令 ===== (測試環境rocky linux) #提升為root權限(下完指令後,會出現要求輸入密碼的訊息)   sudo su - #備份單一資料庫(root使用者帳號, pwd使用者密碼)   mysqldump -uroot -ppwd -hlocalhost db_name > backup_20231121.sql #若出現訊息:permission denied.(權限被拒絕 = 權限不足),先提升為root權限 #備份單一資料表   mysqldump -uroot -ppwd -hlocalhost db_name table_name > backup_20231121.sql #還原資料庫   mysql -uroot -ppwd project_db < backup_20231129.sql 若出現ERROR at line 323: Unknown command '\''. 錯誤訊息,則使用下行指令.   mysql -uroot -ppwd --default-character-set=utf8 project_db < backup_20231129.sql #將檔案複製到指定的資料夾下 cp backup_20231121.sql /data/www/project/ cp backup_20231121.sql /home/project #將檔案複製到指定的資料夾下 mv backup_20231121.sql /home/project #進入mysql (root使用者帳號, pwd使用者密碼)   mysql -u root -p pwd ===== 進入mysql後 ===== #離開mysql   mysql> quit; #列出所有資料庫   mysql> show databases; #使用資料庫(db資料庫名稱)   mysql> use db; #列出此資料庫所有資料表  ...
閱讀完整內容

[工具] notepad++垂直選取

圖片
使用notepad++垂直選取方法 方法一:按住 alt 不放,用 滑鼠 選取 方法二:按住 shift與alt 不放,用 鍵盤 上下鍵選取 欲將下圖"並"字前方全都加上逗號,游標先移到並字前方 按住alt不放,用滑鼠選取 或 按住shift與alt不放,用鍵盤上下鍵選取 下圖為選取後,加上逗號的完成圖
閱讀完整內容