本博客地址:https://security.blog.csdn.net/article/details/82941435
一、SQL注入
当应用程序将用户输入的内容,拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁
1、是否存在全局过滤器。过滤器配置、过滤函数等
2、过滤器是否可以过滤所有查询请求
3、请求是否都按要求经过过滤器处理
4、过滤器的过滤是否符合要求
5、初期检查可以依据PHPIDS的规则库,后期根据收集的情况予以补充
6、是否使用了预编译
7、预查询是指在将数据传入SQL语句前明确指定传输数据的类型,以执行必要的转换。在Java中预查询的调用方式为prepareStatement。
8、是否存在SQL语句拼接
某些特殊的查询(特别复杂的组合查询)难免用到SQL语句拼接,遇到这种情况,就需要检查拼接是否有可能导致注入。
代码示例:
String query = "SELECT account_balance FROM user_data WHERE user