0

我使用 CodeIgniter 已经两年了,现在我正在深入研究渗透测试。我认为 ActiveRecord 在防止 sql 注入方面做得很好,但我有以下问题:

  1. 我想知道是否有可能通过 ASCII 编码/二进制字符串 SQL 注入绕过 ActiveRecord 的过滤系统?
  2. 如果可能,那么如何防止 ASCII Encoded / Binary String SQL 注入?
4

1 回答 1

2

每个开发人员都必须了解一件简单的事情:

按类型分开注射是没有用的。

虽然注入在利用漏洞的方式上有所不同,但原因总是相同的——

格式不正确的查询。

只要您的查询格式正确,就不可能进行任何注入,无论您如何称呼它——ASCII、Blind、Time-delay、Second order 等等。

因此,只需使用常规 Codeigniter 的工具来构建查询并感到安全

于 2013-10-09T08:05:08.053 回答