@CI
2年前 提问
1个回答

判断发生 SQL 注入有什么方法

Simon
2年前

判断发生SQL注入有以下方法:

  • 动态手工检测:人工对要检测的系统实施SQL注入攻击,通过模拟攻击的办法来测试被检测系统是否存在SQL注入漏洞,但这种方式存在高成本以及高漏检率,相对使用率较低,但是这种方式检测的准确率较高。

  • 动态工具检测:使用动态sql检测工具对检测系统进行扫描,然后依据扫描结果判断是否存在SQL注入漏洞,这种方式成本低,但是精确度不高如果工具不行还需要后期进行手工检测。

  • 静态检测:一般会使用数据库交互代码、字符串拼接方式构造动态SQL语句或者使用未过滤的不可信任数据进行检测SQL漏洞,由于静态扫描的代码特征明显,误报率低和直接阅读相关代码,工作总量减少的优势,通常使用静态扫描。