檢查程式碼裡的注入漏洞
注入類漏洞——SQL、命令注入等——常年高居漏洞榜首,不是沒有原因。掃描你的程式碼,標出有風險的寫法並給出更安全的替代。
只要把不可信的輸入直接拼進查詢、命令或模板,就會發生注入。它是最古老的一類 bug 之一,至今仍是危害最大的之一,因為一條未引數化的查詢就能暴露整個資料庫。
這個掃描會標出導致注入的寫法:字串拼出來的 SQL、用使用者輸入拼出來的 shell 命令、以及不安全的插值——並把你引向安全替代,比如引數化查詢或恰當轉義,而不只是點出風險。
它是一次能快速抓住常見注入形態的啟發式評審。它不能證明你的程式碼毫無注入,所以把它當一道有力的初篩,並配合引數化查詢的紀律;對關鍵系統,再加一次專家評審。
對應工具
🛡️程式碼安全審計
上線前安全快掃 —— 注入、硬編碼金鑰、鑑權問題,附修復。
常見問題
怎麼檢查程式碼有沒有 SQL 注入? +
掃描那些用不可信輸入字串拼接出來的查詢。工具會標出它們,並把你引向引數化查詢這個安全修法。
它只查 SQL 注入嗎? +
不——它也標命令注入和不安全的插值寫法,每種都給更安全的替代。
它能證明我的程式碼沒有注入嗎? +
不能——它是啟發式初篩。對關鍵系統,配合引數化查詢紀律和專家評審。