SQL_DEBUG: QUERY command[]: delete from foo where id=181 or 1=1
SQL_DEBUG: AFTER NORM : delete from foo where id=? or ?=?
SQL_DEBUG: RISK : 0
SQL_DEBUG: QUERY command[]: delete from s where comment = 'whatever' or '1'='1'
SQL_DEBUG: AFTER NORM : delete from s where comment = ? or ?=?
SQL_DEBUG: RISK : 0
| 筆者做了許多嘗試,結(jié)果都是一樣的,即GreenSQL都將前面的不懷好意的查詢的風(fēng)險(xiǎn)看成是零,筆者又試用了一下SELECT查詢�����。這竟然 是使GreenSQL工作的一個(gè)關(guān)鍵,即可以阻止惡意查詢���,如日志文件的一個(gè)片斷部分所示:
SQL_DEBUG: QUERY command[]: select * from folks where name='sam' or '1'='1'
SQL_DEBUG: AFTER NORM : select * from folks where name=? or ?=?
DEBUG: Query has 'or' token
DEBUG: Variable comparison only
SQL_DEBUG: RISK : 35
|
由于select語(yǔ)句中的SQL注入允許用戶在沒(méi)有口令的情況可以登錄進(jìn)入一個(gè)站點(diǎn)���,讓GreenSQL檢查一下你的select未嘗不是一個(gè)好主 意���。不過(guò),筆者希望GreenSQL的未來(lái)版本可以將保護(hù)擴(kuò)展到delete語(yǔ)句,因?yàn)樗梢郧宄麄(gè)數(shù)據(jù)表���。 本新聞共 3頁(yè),當(dāng)前在第 3頁(yè) 1 2 3 |
