文章详情

短信预约信息系统项目管理师 报名、考试、查分时间动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

报表检测出 sql 植入风险怎么解决

2021-08-02 07:17

关注

报表检测出 sql 植入风险怎么解决

报表检测到 sql 植入风险,一般是报表工具提供了通用查询的功能,也就意味着 sql(sql 类数据集)是可以通过参数动态拼接的。如 where 子句:

Select … from T where ${w}

正常使用下 w 可以 “status=1”、“1=1”等灵活的条件,但同时存在很大的安全隐患。

比如 w 为“1=0 UNION select … from user”时,user 表数据就完全泄露了。

解决这个问题大概两种方式:

写成很牛 X 的 sql,考虑到最坏情况下,攻击者依然无法攻击。

对参数值过滤,判断有风险的处理掉,甚至直接不让报表继续执行。

第 1 种方式太难了,并且也会把 sql 搞的特别复杂,在报表工具的 sql 植入风险中有详细的过程介绍。

第 2 种就相对好掌握,报表工具一般也会提供防止 sql 植入的方案,报表的 SQL 植入风险及规避方法中讲解了通过配置敏感词检查功能,当遇到非法关键字的时候,报表终止执行以保安全。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯