|
锁定老帖子 主题:SQL注入攻击防御方案
该帖已经被评为精华帖
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2012-03-21
jinnianshilongnian 写道 sdh5724 写道 yuechen323 写道 这位大哥 写了 fastjson 又弄了个sql注入防御的,真是牛人啊~~ 中国软件事业就靠你啦~ 不过还是花时间多陪陪家人比较好~~
你是抱着老婆来看技术论坛? 哈哈哈~ 估计还没老婆吧  回家就抱 哈哈哈哈 |
| 返回顶楼 | |
|
发表时间:2012-03-21
sorry了,2年前一个joomla的网站出了个admin控制台的登录sql注入漏洞,我还以为php没有prepare
其实一切都该是prepared的,无论从性能还是安全考虑都是第一位的 换句话说只要你prepared了,sql injection就无所谓了 而java还有不prepared的吗?如果有那是程序员素质问题,比如jpa/hibernate的query里面不用占位符非得拼字符串之类的,其实纯sql也一样。 综上,这个项目本身有点莫名其妙,治标不治本。 mahonet 写道 surfire91 写道 flashing 写道 如果你用的是prepared,这玩意有啥用吗。。。这是给asp和php用的把,汗
话说php也可以用prepare,这是数据库提供的支持。如果数据库支持prepare,这个东西还有用吗? 对啊,大家怎么老说php存在注入漏洞,java不存在。。。我看不是一样的嘛。。。 |
| 返回顶楼 | |
|
发表时间:2012-03-21
赚人民币的好方法就是赚那些人傻钱多的。
|
| 返回顶楼 | |
|
发表时间:2012-03-21
Druid 0.2版本已经发布,并且已经发布到maven仓库:
<dependencies> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>0.2</version> </dependency> </dependencies> 直接下载地址: http://repo1.maven.org/maven2/com/alibaba/druid/0.2/ 欢迎大家使用反馈! |
| 返回顶楼 | |
|
发表时间:2012-03-22
怎么更新的那么快
|
| 返回顶楼 | |
|
发表时间:2012-03-22
感觉这东西没什么意义,如果由于程序员的水平不行,写出了导致sql注入的代码,只能说是程序的bug,你用一个工具是纠正它,不如从根本解决问题(提高程序员的水平,使用正确的代码去写),而且过滤对效率也有影响,哪天出现了aa注入、bb注入,都给它写个过滤器吗,项目不是这么干的~
|
| 返回顶楼 | |
|
发表时间:2012-03-22
yuechen323 写道 怎么更新的那么快
重要新功能加入,所以发布了一个版本 :) |
| 返回顶楼 | |
|
发表时间:2012-03-22
18万SQL测试,我想知道是怎样的18万条语句。为啥要这么做?
|
| 返回顶楼 | |
|
发表时间:2012-03-22
太强大了~
虽然用绑定变量,并且不用ibatis的表示这种方式不需要。。。 |
| 返回顶楼 | |
|
发表时间:2012-03-22
最后修改:2012-03-22
or id > 0 或者 '1'||name >'0' 或者 '1'||name like '1%'类似永真,也能防范。禁止拼接sql才是王道
|
| 返回顶楼 | |
