@Ineverleft
1年前 提问
2个回答

如何防御 LDAP 注入

在下炳尚
1年前
官方采纳

LDAP注入防御:

  • 始终使用框架提供的功能来进行正确的验证,过滤或转义用户输入的数据;

  • 不允许用户指定客户端的属性值。使用可由用户指定的存储值或服务器端功能。

  • 更好地格式化查询语句,以防止被恶意修改。

  • 使用编码转义输入;

  • 严格的目录授权。

一颗小胡椒
1年前

只要是防御注入无非从以下几点入手:

  • 在构造动态SQL语句时,一定要使用类安全(type-safe)的参数加码机制
  • 在部署应用前,始终要做安全审评(security review)
  • 千万别把敏感性数据在数据库里以明文存放
  • 确认编写了自动化的单元测试,来特别校验你的数据访问层和应用程序不受SQL注入攻击
  • 锁定你的数据库的安全,只给访问数据库的web应用功能所需的最低的权限
  • 很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试