CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入) 类弱点 9217 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-89即SQL注入,属于输入验证类漏洞。当软件未对用户输入进行充分净化或转义,直接将其拼接到SQL命令中时,攻击者可注入恶意SQL代码,从而篡改查询逻辑、绕过身份验证或窃取敏感数据。开发者应避免直接拼接字符串,转而使用参数化查询或预编译语句,确保用户输入仅被视为数据而非可执行代码,从而从根本上阻断注入路径。
... string userName = ctx.getAuthenticatedUserName(); string query = "SELECT * FROM items WHERE owner = '" + userName + "' AND itemname = '" + ItemName.Text + "'"; sda = new SqlDataAdapter(query, conn); DataTable dt = new DataTable(); sda.Fill(dt); ...SELECT * FROM items WHERE owner = <userName> AND itemname = <itemName>;| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2017-6050 | Ecava IntegraXor SQL注入漏洞 — Ecava IntegraXor | 9.8 | - | 2017-06-21 |
| CVE-2014-2376 | Ecava IntegraXor SCADA Server Stable SQL注入漏洞 — IntegraXor SCADA Server | 9.8 | - | 2014-09-15 |
| CVE-2014-5399 | Schneider Electric WIS Portal SQL注入漏洞 — Wonderware Information Server Portal | 9.8 | - | 2014-08-28 |
| CVE-2014-2351 | CSWorks SQL注入漏洞 — CSWorks | 9.8 | - | 2014-05-20 |
| CVE-2014-0763 | Advantech WebAccess SQL注入漏洞 — WebAccess | 9.8 | - | 2014-04-12 |
| CVE-2012-6427 | Carlo Gavazzi EOS-BOX SQL注入漏洞 — EOS-Box | 9.8 | - | 2012-12-23 |
| CVE-2012-5861 | Sinapsi eSolar产品信息泄露漏洞 — eSolar | 9.8 | - | 2012-11-23 |
CWE-89(SQL命令中使用的特殊元素转义处理不恰当(SQL注入)) 是常见的弱点类别,本平台收录该类弱点关联的 9217 条 CVE 漏洞。