更多的是风险评估问题而不是技术问题。
所以我一直在阅读很多关于防止 SQL 注入的内容。让我们假设我有一个大型 Web 应用程序,该应用程序大多未受保护,我需要进行一些改进以防止出现此问题。使用动态查询读取大量 SQL 交互,但很少(少于 100 个注册用户)。
我的问题是......如果我已经使用参数化查询保护了主登录脚本(唯一公开可用的用户输入),是否真的有必要为网站的其余部分做同样的工作?我的意思是,如果潜在的攻击者无法登录,他还能造成多少其他损害?
当然,假设我的注册用户都没有恶意。