我的项目出了个高危漏洞,值得注意!
你好,我是 yes。 近期我们公司和另一家政府相关的公司搞了个合作。 这个项目是我负责的,在临近上线的时候,他们要求出具第三方安全报告。 这个事之前没说过,不过政府项目也可以理解,那就搞个呗。 总监问我: 那我肯定得回有信心啊,嘴强王者可不是白瞎的。 不过心里真没底,想着这小系统会经受第三方狂风暴雨般的渗透攻击,就发虚。 过了两天,测完了,果然..... 一个高危,直接 GG,但是漏洞点竟然是 SQL 注入,我是没想到的! 在说处理方式之前,还是先介绍一下 SQL 注入吧,并且还有个注入实验,挺有意思的。 先介绍下 SQL 注入 简单地说就是不法分子在请求参数里面填入了别有用心的字符,这样在执行 SQL 的时候在不经意间就把黑客想要执行的命令给执行了。 我举个例子就一目了然了,比如你登录的 SQL 可能是这样写的: select * from User where username = '{userName}' and password = '{pwd}' 看着没毛病,那假设现在 username 传 yes, password 这个参数传过来是' or 1=1#,那此时的 SQL 就...
