A1、注入-Injection

駭客將攻擊字串注入正常的語法中,使得網站伺服器出現非預期的效果,並執行駭客輸入的指令,稱之。
Inection

常見攻擊手法

  • 輸入帳號密碼搜尋資訊
  • 透過SQL Injection 語法做搜尋

防範方式

  • 不要使用串接的查詢語法,改為參數化的查詢方式(如:Prepared statments)
  • 以參數化的查詢方式使用Store procedures
  • 組合查詢字串時,跳脫特殊字元
    • 檔案上傳,檢查檔名,禁用 ../ 防止駭客跳脫目錄
 preg_match('/^((?:\.)(?!\.))|\w)+$/', $val);  // don't allow ..

需求驗證項目

SLA