摘要:
正确的防御SQL注入 sql注入的防御不是简单只做一些用户输入的escape处理,这样是不够的,只是提高了攻击者的门槛而已,还是不够安全。 例如 mysql_real_escape_string()函数会对输入的参数进行转义。 当攻击者构造的注入代码如下时: 将会绕过这个函数注入成功,其原因在于这个 阅读全文
摘要:
注入攻击是web安全领域中一种最为常见的攻击方式。注入攻击的本质,就是把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入,第二个就是原本程序要执行的代码,将用户输入的数据进行了拼接,所以防御的思想就是基于上述两个条件。 SQL注入第一次为公众所知,是在1998年的著名黑客杂志< 阅读全文