本篇介紹了以下代碼安全問題
1、SQL注入
2、文件泄露:JavaEE
3、使用DNS名稱作爲安全性的依據
4、不安全的框架綁定
5、弱密碼驗證
6、文件泄露:Struts
7、命令注入
8、HTTP響應截斷
9、LDAP注入
10、文件泄露:Spring
1、SQL注入
詳細信息
SQL注入是一種數據庫攻擊手段。攻擊者通過嚮應用程序提交惡意代碼來改變原SQL語句的含義,進而執行任意SQL命令,達到入侵數據庫乃至操作系統的目的。
例如:下面代碼片段中,動態構造並執行了一個SQL查詢來認證用戶。
public void doPrivilegedAction(HttpServletRequest request, char[] password) throws SQLException {
Connection connection =