我知道在糟糕的代码库中,SQL注入和javascript注入是一个大问题。在设计合理的代码库中,只需通过清理瓶颈模块接受表单数据,并通过代码审查明确对源自社区的mod和插件强制执行此约束,就可以解决这些问题。
那么,一旦这些问题得到解决,已知漏洞的其余主要威胁/来源是什么?是否有类似的直接潜在消毒解决方案?
答案 0 :(得分:1)
我不知道第一个,但我对第二个有一定的答案。
他们可以通过消毒来解决吗?
没有“消毒”之类的东西 完全相反 - 对这种魔杖的信念是所有注射的来源。
没有恶意数据。 不同情况下 而“一般消毒瓶颈”永远不会有任何好处,破坏无辜数据并留下恶意数据。
应该做什么“消毒”(或更好的格式化)取决于数据的去除。
只有“守护进程”(例如SQL,HTML)不是具有单一规则的整个目标点
比如说,对于HTML,您需要htmlspecialchars()或urlencode()来表示不同的目的地
对于SQL,它有四种不同的格式化技术:
它们中的每一个都需要完全不同的格式,在你的魔法瓶颈点完全未知。