SQL Injection,一個被講到爛掉的面試考古題了,
如何避免?
前端要做好字符檢核,避免特殊字元或是不符合業務需求的內容被輸入
後端要使用prepared statement的寫法來避免直接使用客戶端傳入的字串被直接拼接成SQL語句,讓有心人士有機會可以直接對資料庫進行操作
雖然是大家都講到爛掉的東西,但是我偶爾去逛hitcon還是很常看到SQL Injection弱點被揭露
剛剛去看最新一筆就是國內某知名大學的網站弱點又是SQL Injection
https://zeroday.hitcon.org/vulnerability/ZD-2024-01015
再看其餘4筆也不約而同的竟然都是SQL Injection
再稍微看了一下 5筆之中,兩個是用asp,三個是php...