下列方法（）不能有效地防止SQL注入。A、使用参数化方式进行查询B、检查用户输入有效性C、对用户输入进行过滤D、对用户输出就行处理

第1题：

第2题：

SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤，用户提交的数据可能会被用来构造访问后台数据库的SQL指令。

第3题：

正确答案：B

第4题：

下列关于跨脚本攻击说法错误的是（）。

• A、跨站脚本（XSS）攻击，是指攻击者在HTML内容注入恶意脚本代码，从而绕过浏览器的安全检测，获取Cookie、页面内容等敏感信息。
• B、针对XSS攻击的防御手段主要分两类，即输入检查和输出检查。
• C、输入检查，是指对用户的输入进行检查，检查用户的输入是否符合一定规则。
• D、最常见的输入检查方式是对网页内容进行编码。

第5题：

（）是在兼顾可用性的基础上，防范SQL注入攻击最有效的手段。

• A、删除存在注入点的网页
• B、对数据库系统的管理
• C、对权限进行严格的控制，对web用户输入的数据进行严格的过滤
• D、通过网络防火墙严格限制Internet用户对web服务器的访问

第6题：

下列选项中，（）不能有效地防止跨站脚本漏洞。

• A、对特殊字符进行过滤
• B、对系统输出进行处理
• C、使用参数化查询
• D、使用白名单的方法

第7题：

针对SQL注入和XSS跨站的说法中，哪些说法是不正确的（）。

• A、SQL注入的SQL命令在用户浏览器中执行，而XSS跨站的脚本在Web后台数据库中执行
• B、XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入，只不过XSS注入的是HTML代码（以后称脚本），而SQL注入注入的是SQL命令
• C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷
• D、XSS攻击盗取Web终端用户的敏感数据，甚至控制用户终端操作，SQL注入攻击盗取Web后台数据库中的敏感数据，甚至控制整个数据库服务器

第8题：

第9题：

下列方法（）最能有效地防止不安全的直接对象引用漏洞。

• A、检测用户访问权限
• B、使用参数化查询
• C、过滤特殊字
• D、使用token令牌

第10题：

以下哪些方法对防范SQL注入攻击无效？（）

• A、采用参数化查询方式，进行开发
• B、对数据库系统的管理权限进行严格的控制
• C、通过网络防火墙严格限制Internet用户对web服务器的访问
• D、对web用户输入的数据进行严格的过滤