• 日期: 2028-04-18
  • 标签: 常规

这段 Python 代码存在 SQL 注入漏洞。

'漏洞标题': 'SQL 注入漏洞'。

'漏洞描述': '在执行 SQL 语句时,使用了未经处理的用户输入,攻击者可以通过构造恶意输入,修改 SQL 语句的语义,导致数据库执行非预期的操作。'。

'安全级别': '高危'。

'完整可执行的修复建议': '使用参数化查询,避免直接拼接 SQL 语句。例如:

def executeSQL(user):
    sql = 'select * from users where user=%s'
    cusor = conn.execute(sql, (user,))
    return cusor.fetchall()

此外,还可以对用户输入进行合法性检查和过滤,以确保输入符合预期格式。


原文地址: http://www.cveoy.top/t/topic/nZwS 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录