Re: [問題] 請教一個class-file和JVM互動的問題
謝謝大家的熱心回應~
我是個由C起家的資科菸酒生....跟java還很不熟啊....>"<(以後會變熟的)
這裡也稍微解釋一下我們正在做的事情
: 我不清楚你所謂把 SQL injection 根本排除掉的思維,避開 SQL injection 應該
: 是不需要動用 bytecode engineering,除非你是以 bytecode engineering 來達成
: meta programming,提供一套不同於傳統的 Relational databases programming
: 的設計方式。
SQL injection 的原因是因為user 做出了不適當的input,
而programmer又沒有針對這樣的input做出檢查與修正
我們最近正在研究一套方法,讓那些"未經檢查的user input"無法被重要function 執行
(應該說這是最近看到的paper, 有人已經做出來了)
他們的作法是不需更動programmer給的application
而是從core library著手
這樣就可以保證沒被檢查的過的input進不到SQL查詢字串
也排除了SQL injection(其實排除了更多能被user input 入侵的弱點)
不過雖然理論上可行,可是可能會造成server的overhead
總之還在研究囉
--
愛與被愛....都是很毒很毒的毒藥
愛著一個人....只會感受到付出沒有回報的悲傷
被一個人愛上....卻會因為不能回應而覺得有罪惡感
也許...愛..和被愛..都只有一種解藥....那就是....
深深愛上一個深愛你的人
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.45.221.155
※ 編輯: SansWord 來自: 114.45.221.155 (09/02 03:15)
討論串 (同標題文章)