SQL注入在大一的时候,听一位好友曾经说过,因此对信息安全产生了一些兴趣。
最为典型的就是应用SQL语句的逻辑运算的漏洞,例如在where子句后加上1=1就能保证where语句恒成立。
不过现在Web应用已经走向规范化,MVC对应的三大框架已经做得相对不错了,这个问题也基本不存在了。还有的应用是把前端的数据接收过来打包成json数据传入后来,这时对敏感字符的过滤也可以解决。但是别忘了,现在例如asp+access的小型应用还大量存在,虽然说这个组合没有安全性可言有点夸张,但是其安全性差是必须引起注意。这个最近做东西产生的想法