如何解决c++ - 在c ++中使用带有fgetcstdin的数据库数据时如何避免二阶sql注入攻击
std::string sQuery;
char ch= NULL;
ch = fgetc(stdin);
if(ch != EOF)
{
sQuery += ch;
}
checkmarx 抱怨代码说 fgetc 元素获取数据库数据,元素值流经代码而没有经过清理或验证,最终用于数据库查询方法
解决方法
使用不受信任的数据动态构建数据库查询将使您的代码容易受到二阶 SQL 注入(以及一般的 SQL 注入)的攻击。为了降低这种风险,请使用参数化方法和框架(例如 Qt 可以帮助您解决此问题:
char ch= NULL;
ch = fgetc(stdin);
if(ch != EOF)
{
QSqlQuery parametarizedQuery;
parametarizedQuery.prepare("Select * from Table1 where column1 = :ch");
parametarizedQuery.bindValue(":ch",ch);
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
