iT邦幫忙

2024 iThome 鐵人賽

DAY 3
0
Security

WEB仔也要懂資安嗎系列 第 3

3/SQL Injection

  • 分享至 

  • xImage
  •  

SQL Injection,一個被講到爛掉的面試考古題了,
如何避免?
前端要做好字符檢核,避免特殊字元或是不符合業務需求的內容被輸入
後端要使用prepared statement的寫法來避免直接使用客戶端傳入的字串被直接拼接成SQL語句,讓有心人士有機會可以直接對資料庫進行操作

雖然是大家都講到爛掉的東西,但是我偶爾去逛hitcon還是很常看到SQL Injection弱點被揭露
剛剛去看最新一筆就是國內某知名大學的網站弱點又是SQL Injection
https://zeroday.hitcon.org/vulnerability/ZD-2024-01015

再看其餘4筆也不約而同的竟然都是SQL Injection
https://ithelp.ithome.com.tw/upload/images/20240917/201289731ACOWtv21L.png

再稍微看了一下 5筆之中,兩個是用asp,三個是php...


上一篇
2/ OWASP Top 10是什麼
下一篇
4/Command Injection
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言