本人做网络安全,这些年测过不少系统。
给政企单位,尤其是外包的项目做测试,可让我小刀拉屁股开了眼儿了。
后端没有存在感的好吗。
前端直接提交sql给后端的,这还算有点后端的开发成本。
更过分的,后端安装个Api网关直接把http请求转成sql发给数据库,连后端开发都省了。
你以为这就到头了?这起码在架构上还存在后端。
有的客户端(不是web,是exe客户端)直连数据库,库密码写在配置文件里,连后端都省了好么。前几个月刚测了一个,客户端用的mssql的sa账号直接,直接用xpcmdshell执行系统命令了好不。我与开发沟通,他说这叫什么轻客户端还是瘦客户端,敏捷开发是让你们玩儿明白了。
基本这类架构的程序我们没法提整改加固方案,总不能让甲方从新写一遍吧。
开发过这种程序的老哥站出来让我看看,我给你们磕一个,都是狠人,从根源上杜绝了sql注入
作者:没有希望
链接:https://www.zhihu.com/question/397949912/answer/2545396366
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
