▼ 漏洞类型对照表：

四、源码防御三板斧

"难道要重写整个网站？" 别慌！教你几招​​低成本加固法​​：

1. ​​参数化查询​​：给穿防护服（用PreparedStatement）
2. ​​输入过滤​​：给用户输入装安检机（正则表达式过滤特殊字符）
3. ​​最小权限​​：给数据库账户上枷锁（单独创建只读账号）

最近帮个外卖站做加固，就用了个骚操作——把用户输入里的union select自动替换成空白，黑客直接懵逼。不过得提醒，这种字符串过滤要慎用，别把正常内容给误杀了！

五、我的防注入哲学

搞了这么多年Web安全，发现个真理：​​宁可不做功能，也要堵住注入漏洞​​。去年有个客户非要保留某个危险查询接口，结果上线三天就被拖库，赔的钱够开发功能了！

现在我看源码有个习惯——先搜$GET和$POST，这些直接获取用户输入的地方十有八九藏着雷。对了，最近发现个新趋势：黑客开始用​​Emoji表情​​做注入攻击，这魔幻操作真是防不胜防啊！所以源码里最好把非ASCII字符也过滤掉，保平安！

标签： 小白 攻防 注入