什麼是SQL注入
通過構造特殊輸入參數輸入Web應用,導致後端執行了惡意SQL;
引起SQL注入的原因?
通常由於程序員未對輸入進行過濾,直接動態拼接SQL產生的;
檢測方法:
可以使用開源工具sqlmap,SQLninja檢測;
如何防範SQL注入?
(1)對輸入參數做好檢查(類型和範圍),過濾和轉義特殊字符;
(2)不要直接拼接SQL,使用ORM可以大大降低SQL注入風險;
(3)數據庫層:做好權限管理配置,不要明文存儲敏感信息;
什麼是SQL注入
通過構造特殊輸入參數輸入Web應用,導致後端執行了惡意SQL;
引起SQL注入的原因?
通常由於程序員未對輸入進行過濾,直接動態拼接SQL產生的;
檢測方法:
可以使用開源工具sqlmap,SQLninja檢測;
如何防範SQL注入?
(1)對輸入參數做好檢查(類型和範圍),過濾和轉義特殊字符;
(2)不要直接拼接SQL,使用ORM可以大大降低SQL注入風險;
(3)數據庫層:做好權限管理配置,不要明文存儲敏感信息;