我在阅读有关防止 sql 注入攻击的保护时完成了我的作业:我知道我需要使用参数绑定,但是:
- 我已经这样做了,谢谢。
- 我知道我的用户使用的一些数据库驱动程序以最愚蠢的方式实现参数绑定。即,它们容易受到sql注入攻击。我可以尝试限制他们可以使用哪个数据库驱动程序,但是这种策略注定要失败。
- 即使我使用了不错的数据库驱动程序,我也不相信自己不会忘记至少使用一次参数绑定
因此,我想通过对面向 http 的用户输入进行额外的清理来添加额外的保护层。诀窍是我知道这通常很难做到,所以我宁愿使用由安全专业人员编写的经过良好审核、精心设计的第三方库,以将输入字符串转义为不太危险的内容,但我找不到任何明显的候选人。我使用 python,所以我会对基于 python 的解决方案感兴趣,但如果我可以将它们绑定到 python,其他建议也很好。