我一直想知道SQL注入是否仍然是日常普通网站的可能威胁,使用参数化SQL。 (ASP.NET - ' @ 0')。
如果它仍然是一个威胁,那么破解者如何覆盖或绕过这些参数呢?
答案 0 :(得分:5)
根据OWASP的说法,它仍然是2013年的最大威胁(在ASP.NET问世之后很久):https://www.owasp.org/index.php/Top_10_2013-A1-Injection
参数化SQL不会消除担心SQL注入的麻烦。我曾在一家公司工作,以前的开发人员创建了存储过程,该过程将字符串作为参数,创建了一些包含该字符串并执行它的动态SQL。他们声称它是安全的,因为它是参数化的,但我能够证明我可以将SQL代码传递给存储过程并让它执行。
此外,声称您可以安全地使用SQL注入,因为您使用支持参数的语言并不意味着您每次都使用参数。只有一个人可以将一些代码注入您的数据库。
答案 1 :(得分:4)
是的,SQL注入仍然是一种威胁。这些类型的东西总会出现新的漏洞。
以下是注射仍可被视为威胁的一些原因。
这些只是少数几个。但请记住,如果您要使用SQL数据库。在让公众使用它之前,请确保您考虑项目中的漏洞。