下列情形,何者最會有SQL Injection 之虞?
(A)使用參數化查詢來設計資料存取功能
(B)使用字串聯結方式組合SQL指令
(C)開啟PHP的魔術引號功能
(D)使用SqlDataSource物件

答案:登入後查看
統計: A(36), B(99), C(14), D(15), E(0) #105323

詳解 (共 3 筆)

#852452

在應用程式中若有下列狀況,則可能應用程式正暴露在SQL Injection的高風險情況下:

  1. 在應用程式中使用字串聯結方式組合SQL指令。
  2. 在應用程式連結資料庫時使用權限過大的帳戶(例如很多開發人員都喜歡用sa(內建的最高權限的系統管理員帳戶)連接Microsoft SQL Server資料庫)。
  3. 在資料庫中開放了不必要但權力過大的功能(例如在Microsoft SQL Server資料庫中的xp_cmdshell延伸預存程式或是OLE Automation預存程式等)
  4. 太過於信任使用者所輸入的資料,未限制輸入的字元數,以及未對使用者輸入的資料做潛在指令的檢查。
    http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A
1
0
#3247212
SQL注入(英語:SQL injecti...
(共 151 字,隱藏中)
前往觀看
0
0
#3426488

三種較常見的 SQL injection 攻擊手法:

  1. Authorization Bypass(略過權限檢查)
  2. Injecting SQL Sub-Statements into SQL Queries(注入 SQL 子語法)
  3. Exploiting Stored Procedures(利用預存程序)
0
0