用户通过身份验证后,我应该关心 sql 注入吗?
Should I care about sql injection after user has been authenticated?
检查来自经过身份验证的用户的恶意 SQL 输入是否有意义?
如果这样的查询不对 fields/objects 强制执行安全检查,则经过身份验证的用户可以注入绕过其安全设置的查询。
此外,如果 class 被定义为不共享,则在查询中添加一个简单的 where 子句(例如 OR id != null )可以获取他不应该访问的记录,例如他同事的薪水表!
所以总而言之,必须检查所有查询是否有 sql 注入。
很多SQL注入漏洞都不是恶意攻击,不会造成损害。它们只会导致不必要的错误,使您的用户感到困惑并破坏您的应用程序的功能。
SELECT * FROM Users WHERE last_name = 'O'Reilly'
^ mismatched quote
为什么您 不 编写代码来避免 SQL 注入?
检查来自经过身份验证的用户的恶意 SQL 输入是否有意义?
如果这样的查询不对 fields/objects 强制执行安全检查,则经过身份验证的用户可以注入绕过其安全设置的查询。
此外,如果 class 被定义为不共享,则在查询中添加一个简单的 where 子句(例如 OR id != null )可以获取他不应该访问的记录,例如他同事的薪水表!
所以总而言之,必须检查所有查询是否有 sql 注入。
很多SQL注入漏洞都不是恶意攻击,不会造成损害。它们只会导致不必要的错误,使您的用户感到困惑并破坏您的应用程序的功能。
SELECT * FROM Users WHERE last_name = 'O'Reilly'
^ mismatched quote
为什么您 不 编写代码来避免 SQL 注入?