常见的Web安全错误＃1：webs ql注入漏洞

常见的Web安全错误＃1：注入漏洞

注入缺陷是由于经典的无法过滤不受信任的输入而导致的。当你通过滤波的数据到SQL服务器（SQL注入），浏览器可以发生（XSS -我们再谈谈后），到LDAP服务器（LDAP注入），或其他任何地方。这里的问题是，攻击者可以向这些实体注入命令，从而导致数据丢失并劫持客户端的浏览器。

您的应用程序从不受信任的来源收到的所有内容都必须经过过滤，最好根据白名单进行过滤。您几乎不应该使用黑名单，因为正确设置黑名单非常困难，而且通常很容易绕开。防病毒软件产品通常提供失败的黑名单的典型例子。模式匹配不起作用。

预防： 好消息是，防止注入只是“简单地”过滤正确输入并考虑输入是否值得信任的问题。但是，坏消息是，除非可以毫无疑问地信任所有输入，否则必须对所有输入进行适当的过滤（但在这里想到了“永不言败”的说法）。

例如，在具有1,000个输入的系统中，仅对999个输入进行成功过滤是不够的，因为这仍然留下一个字段，可以用作解决系统崩溃的致命弱点。您可能会认为将SQL查询结果放入另一个查询中是个好主意，因为数据库是可信任的，但是如果周边不可靠，则输入间接来自有恶意的人。如果您有兴趣，这称为二阶SQL注入。

由于过滤是很难正确完成的（就像加密一样），因此我通常建议您依靠框架的过滤功能：事实证明它们可以正常工作，并且经过仔细检查。如果你不使用框架，你真的需要好好想想是否不使用他们真的有道理在您的服务器的安全上下文。99％的时间没有。

如果没有坎过我的第一篇的文章的：

10个最常见的Web安全漏洞