• 墨禾
    2019-09-19

    不规范的代码,比如拼接sql 却没有进行参数化验证,或者在前端验证完参数就以为是安全的输入,这些都很容易被绕过,导致sql注入。

    防注入的方法:
    1 参数化验证。不同的语言都应该封装了这种方法,比如说c#,java的sqlparameter .
    2 对参数进行过滤。严格的白名单进行参数过滤。
    展开

    作者回复: 对的

     1
     5
  • Geek_1c165d
    2020-01-08
    请问老师url后面的--+作用是啥?
     1
    
  • zhxxmu
    2019-11-21
    在后端程序中采用参数化查询方式进行查询

    作者回复: 对 这是一种避免的方式

    
    
  • 许童童
    2019-09-18
    涨知识了,谢谢老师的分享。

    作者回复: 加油

    
    
  • 蒙开强
    2019-09-18
    老师,你好,目前很少使用get方式提交了,差不多用post,而且输入参数都会校验的

    作者回复: 嗯 这篇文章讲的是一些基础的操作,目前SQL注入的攻防已经越来越高阶的

     1
    
我们在线,来聊聊吧