報(bào)表檢測(cè)出sql植入風(fēng)險(xiǎn)該怎么解決

發(fā)布時(shí)間：2021-12-08 11:23:03 來(lái)源：億速云閱讀：111 作者：柒染欄目：互聯(lián)網(wǎng)科技

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)報(bào)表檢測(cè)出sql植入風(fēng)險(xiǎn)該怎么解決，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

Select … from T where ${w}

正常使用下 w 可以 “status=1”、“1=1”等靈活的條件，但同時(shí)存在很大的安全隱患。

比如 w 為“1=0 UNION select … from user”時(shí)，user 表數(shù)據(jù)就完全泄露了。

解決這個(gè)問題大概兩種方式：

1、寫成很牛 X 的 sql，考慮到最壞情況下，攻擊者依然無(wú)法攻擊。

2、對(duì)參數(shù)值過(guò)濾，判斷有風(fēng)險(xiǎn)的處理掉，甚至直接不讓報(bào)表繼續(xù)執(zhí)行。

第 1 種方式太難了，并且也會(huì)把 sql 搞的特別復(fù)雜，在報(bào)表工具的 sql 植入風(fēng)險(xiǎn)中有詳細(xì)的過(guò)程介紹。

第 2 種就相對(duì)好掌握，報(bào)表工具一般也會(huì)提供防止 sql 植入的方案，報(bào)表的 SQL 植入風(fēng)險(xiǎn)及規(guī)避方法中講解了通過(guò)配置敏感詞檢查功能，當(dāng)遇到非法關(guān)鍵字的時(shí)候，報(bào)表終止執(zhí)行以保安全。

上述就是小編為大家分享的報(bào)表檢測(cè)出sql植入風(fēng)險(xiǎn)該怎么解決了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

報(bào)表檢測(cè)出sql植入風(fēng)險(xiǎn)該怎么解決

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽