接手的代码扫描时检测出安全漏洞 像这种的代码 如何进行修改?
用什么方法进行修复?
5条回答 默认 最新
於黾 2021-09-09 10:22关注给你个关键字:参数化sql
你的用户名密码直接拼接进sql语句里面,如果有人知道了你的这个规则,然后在用户名密码的文本框里输入一个完整的sql语句,拼接进你的sql语句里面执行,这就叫sql注入。黑客可以利用这个手段随便修改你的数据库。
-=-=-=-=-=
参数化就是将sql语句和值进行分离,如果有人写了一大堆sql语句放进username里,参数化后的sql会将它整个当做字符串而不是命令
-=-=-=-=
另,别信什么临时变量之类的胡话,你内部怎么折腾变量检测器才检测不到呢。检测器的原理其实就是在username文本框里输入一个单引号,如果你已经做了sql参数化,那么单引号就会被当做字符串处理而不会报错,否则单引号作为sql命令的一部分就会报错,检测器只要发现输入了单引号你的页面崩溃就会判断你的页面不安全。本回答被题主选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 1无用举报
分享
- 2020-08-17 15:40魏刘刘的博客 可以将恶意代码插入到要传递给关系型数据库管理系统的用来分析和执行的字符串中。任何构成SQL语句的过程都应进行注入漏洞检查,因为DBMS将执行其接收到的所有语法有效的查询。 DB:是指datebase(数据库)
- 2025-06-10 20:08大厂资深架构师的博客 据OWASP(开放Web应用安全项目)2023年报告,XSS跨站脚本攻击和SQL注入连续10年稳居“Web应用十大安全漏洞”前两名,每年因这两类漏洞导致的数据泄露、系统瘫痪等事件造成的经济损失超百亿美元。XSS和SQL注入的攻击...
- 2020-11-22 12:52SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现,展示了如何在前端进行用户输入验证,确保输入的数据不会引发SQL注入。 首先...
- 2024-12-10 09:41破碎的天堂鸟的博客 无论使用哪种编程语言,实现参数化查询的基本原则都是将SQL语句的数据部分与代码部分分开处理。这可以通过使用预编译语句、占位符、ORM框架等方法来实现。
- 2020-10-27 12:17这些字符在JavaScript中可能被解释为特殊含义,如注释、字符串拼接等,从而成为XSS攻击的途径。 函数的实现方法是遍历输入字符串`s`的每个字符,使用`substr`方法获取单个字符,并用`replace`方法配合正则表达式...
- 2025-01-08 00:31紫星阑的博客 在PL/SQL中,可以使用VARCHAR2和CHAR来定义字符串变量。VARCHAR2是一种可变长度的字符串类型,而CHAR则是固定长度的字符串类型。plsqlDECLAREBEGIN-- 这里将填充空格到固定长度10END;PL/SQL中的字符串处理功能非常...
- 2020-10-25 11:30weixin_39535527的博客 SQL注入漏洞原理:SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、...
- 2023-07-02 23:301. 参数化查询:使用预编译的SQL语句,将用户输入的数据作为参数传递,而不是直接拼接在SQL字符串中。 2. 输入验证:对用户提交的数据进行严格的检查和过滤,拒绝不符合预期格式的输入。 3. 最小权限原则:数据库...
- 2021-03-03 17:38Ly4j的博客 SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。...
- 2025-07-17 14:45大厂资深架构师的博客 让每个后端开发者都能听懂、学会如何防御SQL注入。我们会覆盖SQL注入的本质、常见攻击方式,以及可落地的防御策略(从代码层面到工具层面),范围包括Web后端、移动端后端等所有使用SQL数据库的系统。用“食堂打饭”...
- 没有解决我的问题, 去提问
问题事件
系统已结题
3月27日
已采纳回答
3月19日-
创建了问题
9月9日