你的網站正在裸奔嗎?
SQL Injection真的是老掉牙的話題了,很不幸地,它卻始終是導致資安事件的主要凶手之一。
只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" + Request["id"];),不管你用的是ASP、JSP還是PHP,資料庫連的是SQL、MySQL還是ORACLE,整個資料庫等同於完全公諸於世,任人把玩。原本應該要固若金湯的網站系統,這下跟在大街上裸奔沒有兩樣。
這是我很早以前在RUN!PC發表過的文章,源於一個自己遇到的真實案例(一個兩三千人活動的網站),文章裡很寫實地展示了不留意SQL Injection的問題,後果可能有多嚴重。幾年後,隨著駭客自動工具的不斷研發及技術提升,SQL Injection的威脅更是有增無減,所有開發人員務必要建立正確的觀念,審慎因應。
文章在此,僅供大家參考。
另外,還有另一篇文章--ASP.NET防駭指南,也值得看一下。