【发布时间】:2009-11-11 17:56:57
【问题描述】:
我知道这是一个简单的问题,但在我所阅读的所有内容中,我从未见过具体说明这一点。
如果在页面上做查询,是否需要担心 SQL 注入攻击?还是只有当您要求用户输入时才会出现问题?
谢谢!
【问题讨论】:
-
我看到的大多数答案都是关于用户输入的。那将需要某种形式,不是吗?我的问题是,如果我不收集页面上的用户输入,我是否需要担心注入攻击?
-
是的。 “用户输入”实际上应该是“作为请求的一部分进入您的服务器的任何内容”。我已经演示了基于更改
UserAgent请求标头的值的攻击;-) -
即使它不可能成为攻击的源头,它仍然可以成为注入攻击的目标。其他人拥有您的网页的严重程度取决于您的网站。
标签: sql security web-applications sql-injection