检查代码里的注入漏洞
注入类漏洞——SQL、命令注入等——常年高居漏洞榜首,不是没有原因。扫描你的代码,标出有风险的写法并给出更安全的替代。
只要把不可信的输入直接拼进查询、命令或模板,就会发生注入。它是最古老的一类 bug 之一,至今仍是危害最大的之一,因为一条未参数化的查询就能暴露整个数据库。
这个扫描会标出导致注入的写法:字符串拼出来的 SQL、用用户输入拼出来的 shell 命令、以及不安全的插值——并把你引向安全替代,比如参数化查询或恰当转义,而不只是点出风险。
它是一次能快速抓住常见注入形态的启发式评审。它不能证明你的代码毫无注入,所以把它当一道有力的初筛,并配合参数化查询的纪律;对关键系统,再加一次专家评审。
对应工具
🛡️代码安全审计
上线前安全快扫 —— 注入、硬编码密钥、鉴权问题,附修复。
常见问题
怎么检查代码有没有 SQL 注入? +
扫描那些用不可信输入字符串拼接出来的查询。工具会标出它们,并把你引向参数化查询这个安全修法。
它只查 SQL 注入吗? +
不——它也标命令注入和不安全的插值写法,每种都给更安全的替代。
它能证明我的代码没有注入吗? +
不能——它是启发式初筛。对关键系统,配合参数化查询纪律和专家评审。