TFpI.cnblogs

摘要： 开发者容易遗漏的输入点： HTTP头 X-Forwarded-For 获取用户ip User-Agent 获取浏览器 Referer 获取之前访问页面 X-Forwarded-For 获取用户ip User-Agent 获取浏览器 Referer 获取之前访问页面 PHP_SELF REQUEST_ 阅读全文

摘要： java中sql注入主要发生在model层，黑盒测试sql注入的方法结合两点：1，异常注入后，界面有无明显的aql异常报出。2，查看数据库日志是否有脏数据注入。 preparestatement方法是预编译方法，对拼接的sql语句没用。不能采用预编译的点：SELECT id,path FROM wp 阅读全文

摘要： 输入验证： 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。 输入验证最好使用“白名单”校验的方式。 输入转义： 每个DBMS都有一个字符转义机制来告知DBMS输入的是数据而不是代码，如果将用户的输入都进行 阅读全文