tag
SQL injection
该标签下有 2 篇文章
CVSS9.82026-06-12
MOVEit 大规模数据泄露(2023)—— SQL 注入零日漏洞波及 2,700 多家组织的原因与防御
入口是面向互联网公开的文件传输产品 MOVEit Transfer 的 SQL 注入零日漏洞(CVE-2023-34362)。攻击者植入 Web shell(LEMURLOOT),从后端数据库批量窃取数据,致 2,700 多家组织、约 9,330 万人的数据外泄。许多受害者是因为外包方、合作方使用了 MOVEit 而被间接牵连。在你的环境中,可通过 KEV 即时打补丁、最小化暴露面、Web↔DB 的最小权限与隔离、外包方盘点与数据最小化来防范。
2026-06-08
什么是 SQL injection(SQLi)——能用输入改写数据库命令的漏洞
SQLi 是一种让输入被当作「命令的一部分」而非「数据」来解释、从而改变数据库查询含义的漏洞,直接导致数据被读取、被篡改、被全部删除。真正有效的防御是「停止字符串拼接,用占位符(prepared statement)传值」。