惱人的 SQL Injection

這一兩個月來真的是風風雨雨，到這禮拜還是有客戶遭受攻擊。 回想早在 2002 年台灣微軟就投入許多資源宣導預防 SQL Injection，過了 6 年還是常常災情不斷。 好的軟體專案除了滿足功能性需求外，也不要忽略諸如安全性的非安全性需求啊!

苦命的程式設計師們，如果你還沒聽過 SQL Injection，請快拜讀胡百敬先生寫的這兩篇文章，看看你寫的程式會如何被攻擊 :

  SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上)
  https://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm
  SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(下)
  https://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm

怎麼防呢? 看看微軟官方的說明 :

  SQL 資料隱碼
  https://msdn.microsoft.com/zh-tw/library/ms161953.aspx

如果你已經開始在用 LINQ 了，那黃忠成先生這篇也值得一看:

  LINQ - 對付 SQL Injection 的 "免費補洞策略"
  https://www.microsoft.com/taiwan/msdn/columns/huang_jhong_cheng/LVSS.htm

 

當一個好的程式設計師很難吧 ~