外卖背后的人工智能算法揭秘

在与SQL注入的持续斗争中，开发人员需要认真对待这些警告。在SQL查询中任何使用未经验证的数据都是严重的风险。即使当前的形式可能不是一个特定的警告问题，以后的重构也可能会暴露这些漏洞。检查查询字符串中使用的所有数据!

实际上，开发人员应验证来自应用程序外部的任何数据，以确保它们符合预期的格式和内容。转向“始终验证”的理念以及依靠安全编码而不是安全测试的过程会大大提高应用程序的安全性。开始加强代码，以防止SQL注入首先被封装。

何时以及如何防止SQL注入

防止SQL注入的理想时间和地点是开发人员在其IDE中编写代码时。采纳安全编码标准(例如C和C++的SEI CERT C和Java和.NET的OWASP Top 10或CWE Top 25)的团队都具有警告未验证SQL查询输入的准则。

在新创建的代码上运行静态分析既快速又简单，并且很容易集成到CI/CD流程中。在现阶段调查所有安全警告和不安全的编码做法是一个好习惯，以防止将此代码写入到内部版本中。
 

将这种类型的渗透测试集成到您的CI/CD流程中是防御SQL注入和其他类型漏洞的重要组成部分。

渗透和模糊测试无疑是DevSecOps中的重要过程，并且至关重要。但是，这提出了问题。

• 测试检测到安全漏洞时会发生什么?
• 当软件团队发现其大部分用户输入处理不安全时，会发生什么?
• 它当然需要修复，但是要付出什么代价?

在开发的后期发现严重的安全问题会导致严重的成本和延迟。预防和检测是将安全操作进一步转移到更便宜且更容易修复的地方的关键。

将SQL注入的检测和消除向左移动

在软件开发中采用DevSecOps方法意味着将安全性集成到DevOps管道的各个方面。正如团队尽早在SDLC中推进代码分析和单元测试等质量流程一样，安全性也是如此。

如果团队更广泛地采用这种方法，则SQL注入可能已成为过去。攻击的增加意味着它尚未发生。无论如何，让我们概述一种可以尽早防止SQL注入的方法。

与修补(和道歉!)已发布的应用程序相比，查找和修复潜在的SQL注入(以及其他注入漏洞)可节省大量时间。单个重大事件可能使公司损失20万美元或更多。小型企业发生许多事件。一次攻击会造成严重的财务压力，更不用说有关违规披露和保护个人身份信息的潜在监管问题了。

下面概述的“检测和阻止”方法基于将减轻SQL注入的风险转移到开发的最早阶段，并通过通过静态代码分析进行检测来增强此功能。

如何检测SQL注入

检测SQL注入依赖于静态分析来在源代码中找到这些类型的漏洞。检测发生在开发人员的桌面和构建系统中。它可以包括现有的、旧的和第三方代码。

连续检测安全问题可确保发现以下所有问题：

• 开发人员错过了IDE。
• 存在于比您的新的检测预防方法还早的代码中。

推荐的方法是信任但验证模型。安全性分析在IDE级别进行，开发人员在该级别上根据收到的报告做出实时决策。接下来，在构建级别进行验证。理想情况下，构建级别的目标不是找到漏洞。这是为了验证系统是否干净。

（编辑：信阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!