Niebezpieczeństwo wstrzykiwania SQL: Hakerzy wykorzystują tę lukę, aby wstrzykiwać instrukcje skryptów SQL do systemu w celu usunięcia baz danych lub kradzieży danych.
Popyt:
1. Wykonywane jest łączenie instrukcji SQL z bazy danych, jeśli jest wypełniona wyłącznie wartościami parametrów, wartości parametrów mogą być przekazywane bezpośrednio przez parametry, co całkowicie zapobiega wstrzykiwaniu SQL, a filtrowanie ciągów znaków tekstowych przez użytkowników za pomocą wyrażeń regularnych również zmniejsza ryzyko wstrzykiwania, jednak dla słów kluczowych mutacji, transformacji i nowej składni nie może skutecznie zapobiec ryzyku wstrzykiwania.
2. Dynamiczny raport ikon, użytkownik wprowadza instrukcje SQL przez interfejs, a następnie wykonuje je z bazy danych. Wynika to z faktu, że tego typu operacja zapytania jest wyłącznie operacją zapytania, a niebezpieczne słowa kluczowe, takie jak aktualizacja czy usunięcie, powinny być filtrowane.
recenzja
Kod Java:
|
Opublikowano 07.02.2022 15:52:57
|
|
|
|
Opublikowano 13.02.2022 16:35:06