请求参数中的SQL语句
描述:请求参数中的SQL语句
HTTP请求有时包含SQL语法。如果将其合并到SQL查询中并由服务器执行,则该应用程序几乎肯定容易受到SQL注入的影响。
当观察类似SQL的语法时,您应该验证请求是否包含真正的SQL查询以及服务器是否正在执行该请求。
修复:请求参数中的SQL语句
应用程序不应将任何可控制的数据直接集成到SQL查询中。应使用参数化查询(也称为准备的语句)将数据安全地插入预定义的查询中。在任何情况下,用户都不得控制或修改SQL查询本身的结构。
参考
脆弱性分类
典型的严重程度
中等的
类型索引(HEX)
0x00400480
类型索引(十进制)
4195456