美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在最新报告中指出，尽管SQL注入(SQLi)漏洞已被充分记录，并被认为是一种“不可原谅”的事故，但它仍然是“商业软件产品中持续存在的缺陷”。

在文件中，美国两家政府机构敦促商业软件开发商“对其代码进行正式审查”，以确定其是否容易受到SQLi攻击。

两家公司表示：“如果发现他们的代码存在漏洞，高级管理人员应确保其组织的软件开发人员立即开始实施缓解措施，以从所有当前和未来的软件产品中消除这类缺陷。”

SQL注入是一种攻击，黑客可以将恶意查询“注入”到SQL命令中，从而执行任意查询。因此，威胁者可以访问敏感数据，甚至接管易受攻击的系统。

两家组织解释称，此类漏洞源于“数据库查询和用户提供的数据混杂在一起”。为了缓解威胁，组织应使用带有预处理语句的参数化查询，因为这种方法将SQL代码与用户数据分开。

BleepingComputer在其报告中报道称，根据MITRE的数据，SQLi漏洞是2021年至2022年间第三大最危险的软件漏洞。

“从一开始就纳入这种缓解措施——从设计阶段开始，并贯穿开发、发布和更新——可以减轻客户的网络安全负担和公众风险。”

CISA和FBI表示，他们发布了SecurebyDesignAlert，“以应对近期广为人知的恶意威胁行为者活动，该活动利用托管文件传输应用程序中的SQLi缺陷来瞄准和危害该应用程序的用户，影响了数千个组织”，指的是去年从MOVEit中的漏洞开始的Cl0p活动。