在原始碼掃描的Report之中,有一些 Heuristic 開頭的 Issue,
例如 Heuristic SQL Injection, Heuristic 2nd Order SQL Injection 。
如果確實是 SQL Injection 的話,那應該會被歸納到 高風險 的 issue 才對呀!
可是為什麼它是被放在 低風險 呢?
主要是因為 Heuristic 。
因為 原始碼掃描軟體 「不確定」 是否真的有那個 Issue,
它「猜測」有那個 Issue,不確定,所以才放在「低風險」。
所以即然是「猜的」,所以,有可能對,也有可能是錯的。
那需要修正嗎?
就檢視程式,是否真的有那個問題,有的話,當然要修正呀!
沒有那個問題,自然就不用修改呀!
Hi,
亂馬客Blog已移到了 「亂馬客 : Re:從零開始的軟體開發生活」
請大家繼續支持 ^_^
