1.从安全角度来看,来自数据库、网络服务器和其他来源的数据是不可信的,这些数据可能没有完全通过验证,应该始终对不可信数据保持警惕,将其视为包含攻击,在发送不可信数据之前,采取措施确定没有攻击再发送;
2.应用程序之间的关联不断深化,下游直译程序执行的攻击可以迅速蔓延。输入验证通常是在获取数据时开始执行,而此时并不知道目的地所在;
3.应用程序必须允许潜在危害的字符进入,输入验证很重要,但始终不是解决注入攻击的完整解决方案,应该将输入攻击作为纵深防御措施,将escaping作为首要防线。
1.从安全角度来看,来自数据库、网络服务器和其他来源的数据是不可信的,这些数据可能没有完全通过验证,应该始终对不可信数据保持警惕,将其视为包含攻击,在发送不可信数据之前,采取措施确定没有攻击再发送;
2.应用程序之间的关联不断深化,下游直译程序执行的攻击可以迅速蔓延。输入验证通常是在获取数据时开始执行,而此时并不知道目的地所在;
3.应用程序必须允许潜在危害的字符进入,输入验证很重要,但始终不是解决注入攻击的完整解决方案,应该将输入攻击作为纵深防御措施,将escaping作为首要防线。
