SQL 注入攻击的细节和应对方式讲得挺细的,尤其是针对 MySQL,挺实在的。防御策略不光停留在原理层面,还有不少实战案例,配合具体的代码讲得蛮清楚。你要是平时也折腾后端、写点 SQL,那这书挺值得一看,尤其是搞 Web 开发的,常见坑基本都囊括了。
MySQL 的注入点识别方式讲得透,比如通过ORDER BY找字段数、用UNION合并查询测试,响应信息怎么变化都到了。嗯,哪怕是入门不久的同学,看了也能跟上。
防御部分除了讲预、参数绑定这些常规操作,还提到了白名单验证的用法,比较推荐。对了,还有一点比较实用的是,它会指出哪些“看起来安全”的代码其实还不够,比如拼接 SQL 时没过滤引号。
想系统点了解,可以看看这些文章:SQL 注入攻击与防御的综述、MySQL 数据库安全防范 SQL 注入攻击的关键策略,都挺有料的。
还有个亮点是,书里结合了不少漏洞演示代码,你可以直接跑起来测试,配合文章SQL 注入漏洞示例代码及安全措施详解一起看,理解更快。
,如果你平时写 SQL,是用 MySQL 的,想搞清楚注入到底怎么发生的、怎么防,就别错过这本。