请求参数中的SQL语句

描述：请求参数中的SQL语句

HTTP请求有时包含SQL语法。如果将其合并到SQL查询中并由服务器执行，则该应用程序几乎肯定容易受到SQL注入的影响。

当观察类似SQL的语法时，您应该验证请求是否包含真正的SQL查询以及服务器是否正在执行该请求。

修复：请求参数中的SQL语句

应用程序不应将任何可控制的数据直接集成到SQL查询中。应使用参数化查询（也称为准备的语句）将数据安全地插入预定义的查询中。在任何情况下，用户都不得控制或修改SQL查询本身的结构。

参考

• beplay体育能用吗网络安全学院：SQL注入
• 使用burp测试注射缺陷
• beplay体育能用吗网络安全学院：SQL注入备忘单

脆弱性分类

• CWE-598：通过查询字符串在GET请求中通过查询字符串暴露
• CAPEC-66：SQL注入

典型的严重程度

中等的

类型索引（HEX）

0x00400480

类型索引（十进制）

4195456