Heuristic SQL Injection

在原始碼掃描的Report之中,有一些 Heuristic 開頭的 Issue,

例如 Heuristic SQL Injection, Heuristic 2nd Order SQL Injection 。

 

如果確實是  SQL Injection 的話,那應該會被歸納到 高風險 的 issue 才對呀!

可是為什麼它是被放在 低風險 呢?

主要是因為 Heuristic 。

因為 原始碼掃描軟體  「不確定」 是否真的有那個 Issue,

它「猜測」有那個 Issue,不確定,所以才放在「低風險」。

所以即然是「猜的」,所以,有可能對,也有可能是錯的。

那需要修正嗎?  

就檢視程式,是否真的有那個問題,有的話,當然要修正呀!

沒有那個問題,自然就不用修改呀!  

Hi, 

亂馬客Blog已移到了 「亂馬客​ : Re:從零開始的軟體開發生活

請大家繼續支持 ^_^