請問各位高手有關SQL注入的問題

sql注入網路攻擊

阿誠 2022-02-05 19:40:41 ‧ 1814 瀏覽

分享至

請問各位高手是不是需要輸入帳密登入會員才需要防範SQL注入，假如是沒有輸入帳密的例如一些形象網站就不用擔心SQL注入的問題對嗎?還是會有其他攻擊呢?
我的網站是用wordpress製作的，希望高手講越細越好或網路文章或推薦的書，感恩

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

Felix

iT邦研究生 2 級 ‧ 2022-02-06 06:07:09

不是，應該要這樣說：

只有能受到使用者操作的資料才需要防範 SQL 注入。

不要輕易相信使用者輸入的資料，這也是伺服器需要資料驗證的原因。

回應 3
分享
檢舉

阿誠 iT邦新手 5 級 ‧ 2022-02-06 10:54:45 檢舉

謝謝你我又更理解了

阿誠 iT邦新手 5 級 ‧ 2022-02-06 11:08:27 檢舉

那我想請問你說使用者輸入的資料才需要防範 SQL 注入，也就是說假如是關鍵字查詢也會被SQL注入對嗎?

Felix iT邦研究生 2 級 ‧ 2022-02-09 11:42:04 檢舉

阿誠

是的，包括但不限於關鍵字查詢，像是切換頁數等參數，儘管可能不是使用者手動輸入的資料（可能是系統自動代入參數，但是不管怎麼說，都是因為使用者的操作才得到的資料），使用者也能手動改變參數，如果沒有資料驗證，就很可能會被注入。

登入發表回應

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2022-02-06 12:45:08

任何可被使用者操作後，並使用到資料庫的動作。都能做到SQL注入

如登入、登出、搜尋、留言、列表排序、條件。

或許你會說排序類沒輸入任何值。為何會被SQL注入。
大多數來說，排序、條件。很多人其實還是會用GET的固定值來處理。
雖然沒有任何輸入框可供使用者輸入。
但依然可以利用POST、GET的方式來跟你請求資料的情況下。就有機會這樣。

這樣是否明白

回應
分享
檢舉

登入發表回應

迷路

iT邦新手 1 級 ‧ 2022-02-08 08:11:05

不單只有使用者輸入的參數可以被注入
最新消息、商品、文章這類系統自動帶參數的
只要沒檢查照樣能被注入

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙