Contents

SQL的情况比较多,通常来说有两种防御的方式。在接受数据的时候进行防御和在数据进入SQL之前进行防御。好的设计应该是在数据进入SQL之前进行防御。国内各种CMS的层出不穷的SQL可以证明,在接收数据的时候进行防御不是一个好的方案。各种成熟的MVC架构也是在数据进入危险函数之前的最后一步进行防御

#安全的设计

#相关案例

b2b-builder 多处SQL注入漏洞

在接收数据时进行转移,但是忘记了SERVER变量的转义。

Contents