一般有多种减轻威胁的技巧: [1] 策略:库或框架 使用不允许此弱点出现的经过审核的库或框架,或提供更容易避免此弱点的构造. [2] 策略:参数化 如果可用,使用自动实施数据和代码之间的分离的结构化机制.这些机制也许能够自动提供相关引用.编码和验证,而不是依赖于开发者在生成输出的每一处提供此能力. [3] 策略:环境固化 使用完成必要任务所需的最低特权来运行代码. [4] 策略:输出编码 如果在有风险的情况下仍需要使用动态生成的查询字符串或命令,请对参数正确地加引号并将这些参数中的任何特殊字符转…