找回密码
 加入怎通
查看: 310|回复: 7

现在SQL注入死透了吗?_sql注入过时了吗

[复制链接]
我来看看 发表于 2023-03-30 06:01:52 | 显示全部楼层 |阅读模式
1 G9 Q$ ~- ]6 j* `- H

楼主指的SQL注入在原理上被根绝是指使用预编译吧其实SQL注入并没有死透,主要原因有四:1.预编译不能解决所有SQL注入:比如表名/列名/排序动态传入的场景,原因是这些地方不能预编译,因此很多人还是直接拼接的,且囿于对预编译的信赖,从外到里没有过滤。

W( }9 `3 I+ M5 k" Y! S" }% p: p

2.可以预编译的地方也有可能出现问题:注入一般爆发在LIKE语句/IN语句中,因为这两个地方的预编译写法都有些特殊,很多开发者懒得去搞,就直接拼接了3.在SQL语句的写法上,直接拼接比预编译简单太多了,没有接触过信息安全的初学者写出来的代码很大可能存在漏洞;就算是有经验的程序员,在快速上线的压力下,也没有时间再去考虑信息安全的问题。

: u5 p( B1 _& Z5 N% X% l

4.有太多有漏洞的老代码来不及或不能换上预编译,只能靠WAF苟活,而WAF这种东西本身就是在用户体验与安全性之间的一种矛盾集合体,总有被绕过的可能性最后,其实我想说的是,就新开发的系统来说,SQL注入漏洞确实越来越少了,做到这一点的不是大家的安全意识增强,都知道使用预编译了,而是。

/ `7 y F/ p5 U0 l* H* U/ D' V

大量成熟的框架与组件,其本身自带有对安全性的考量,使开发者无感知的写出较为安全的代码SQL注入作为漏洞之王不会就此消失,漏洞从来都是环环相扣,褪去外网坚韧的防御,内网脆弱无比,拼接来自于人的懒惰,且永远不会缺席。

# N& q0 ~9 r9 I: @- C4 Q7 e6 s A/ o7 l# n* M3 C! K. i , c: K; n1 `; P( I% m3 s" Z# D" }" g ) G' e: O/ R: t5 V. e u! e: C ) f: Y' a8 \( k A5 R% Y- `: ~
回复

使用道具 举报

拜拜姑姑 发表于 2026-01-10 17:11:30 | 显示全部楼层
刚好遇到类似问题,看完这个帖子心里有底了
回复

使用道具 举报

winnie 发表于 2026-01-10 17:54:01 | 显示全部楼层
楼主辛苦了,整理这么多内容,必须点赞收藏
回复

使用道具 举报

~~@@~~ 发表于 2026-01-10 18:43:21 | 显示全部楼层
完全赞同,我也是这么认为的,英雄所见略同~
回复

使用道具 举报

Seven 发表于 2026-01-12 15:02:32 | 显示全部楼层
蹲了这么久,终于看到有价值的讨论,支持一下!
回复

使用道具 举报

吴宇曦 发表于 2026-01-12 20:31:32 | 显示全部楼层
分析得很透彻,很多细节都说到点子上了~
回复

使用道具 举报

McGRADY 发表于 2026-04-08 10:19:40 | 显示全部楼层
说得很实在,没有夸大其词,这种真实分享太难得了
回复

使用道具 举报

天下大草 发表于 2026-07-06 18:08:57 | 显示全部楼层
学习到了,之前一直没注意过这个点,受教了
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-7 05:17 , Processed in 0.035760 second(s), 24 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表