iT邦幫忙

0

請問各位高手有關SQL注入的問題

  • 分享至 

  • xImage

請問各位高手是不是需要輸入帳密登入會員才需要防範SQL注入,假如是沒有輸入帳密的例如一些形象網站就不用擔心SQL注入的問題對嗎?還是會有其他攻擊呢?
我的網站是用wordpress製作的,希望高手講越細越好或網路文章或推薦的書,感恩

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
Felix
iT邦研究生 2 級 ‧ 2022-02-06 06:07:09

不是,應該要這樣說:

只有能受到使用者操作的資料才需要防範 SQL 注入。

不要輕易相信使用者輸入的資料,這也是伺服器需要資料驗證的原因。

阿誠 iT邦新手 5 級 ‧ 2022-02-06 10:54:45 檢舉

謝謝你 我又更理解了

阿誠 iT邦新手 5 級 ‧ 2022-02-06 11:08:27 檢舉

那我想請問你說使用者輸入的資料才需要防範 SQL 注入,也就是說假如是關鍵字查詢也會被SQL注入 對嗎?

Felix iT邦研究生 2 級 ‧ 2022-02-09 11:42:04 檢舉

阿誠

是的,包括但不限於關鍵字查詢,像是切換頁數等參數,儘管可能不是使用者手動輸入的資料(可能是系統自動代入參數,但是不管怎麼說,都是因為使用者的操作才得到的資料),使用者也能手動改變參數,如果沒有資料驗證,就很可能會被注入。

2

任何可被使用者操作後,並使用到資料庫的動作。都能做到SQL注入

如登入、登出、搜尋、留言、列表排序、條件。

或許你會說排序類沒輸入任何值。為何會被SQL注入。
大多數來說,排序、條件。很多人其實還是會用GET的固定值來處理。
雖然沒有任何輸入框可供使用者輸入。
但依然可以利用POST、GET的方式來跟你請求資料的情況下。就有機會這樣。

這樣是否明白

0
迷路
iT邦新手 1 級 ‧ 2022-02-08 08:11:05

不單只有使用者輸入的參數可以被注入
最新消息、商品、文章這類系統自動帶參數的
只要沒檢查照樣能被注入

我要發表回答

立即登入回答