Help us learn about your current experience with the documentation. Take the survey.
SQL 注入
描述
可以在目标应用服务器的后端数据库上执行任意 SQL 命令。 SQL 注入是一种严重漏洞,可能导致数据或系统被攻破。
修复建议
向后端数据库系统发送请求时,始终使用参数化查询。在必须创建动态查询的情况下,切勿直接使用用户输入,而是使用有效值的映射或字典,并通过用户提供的键来解析。
例如,某些数据库驱动程序不允许对 > 或 < 比较运算符使用参数化查询。在这些情况下,不要使用用户提供的 > 或 < 值,而是让用户提供 gt 或 lt 值。然后使用这些字母值来查找用于构建动态查询的 > 和 < 值。对于其他需要列名或表名但无法参数化的查询,同样适用此方法。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 89.1 | false | 89 | Active | high |