分享至
若必須使用GET方式,傳遞網頁參數的時,可於以GET取得資料後,檢查資料內是否被加入下列敏感字詞,我們必須先過濾或排除這些關鍵詞(包括大小寫),防範資料「注入」的攻擊。 需過濾關鍵詞:單引號、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare。
SQL 的註解符號應該也要加入過濾!如「--」、「#」
應該也把union加進去,用union攻擊也是常見的手法。
謝謝分享
改用 POST 有用嗎?
感謝提供分享
感謝分享這個資訊
IT邦幫忙