很多開發者以為「有做輸入驗證」就等於安全,但真正的注入攻擊,往往沒那麼容易被擋住。
這部影片將深入解析為什麼單純的輸入驗證,無法真正防止 Injection 類型攻擊,以及現代 Web 系統中最常見的安全誤區。
內容涵蓋常見的注入攻擊類型,包括 SQL Injection、Command Injection、LDAP Injection、Template Injection,以及 AI 時代開始出現的 Prompt Injection。影片也會說明這些攻擊的核心本質:攻擊者成功讓「資料被當成指令執行」。
影片中也會介紹為什麼很多輸入驗證仍然會失敗,例如:
黑名單規則容易被繞過
編碼與轉義處理不完整
後端不同層之間的解析差異
API 與 ORM 使用錯誤
動態拼接查詢語法
除了問題分析,也會分享真正有效的防禦方式,包括參數化查詢(Parameterized Query)、Prepared Statement、ORM 安全使用、白名單驗證、Context-aware Encoding,以及最小權限原則。
影片也會探討 AI Agent 與 LLM 時代的新型態 Injection 風險,包括 Prompt Injection、Indirect Prompt Injection 與 Tool Injection,說明為什麼「資料與指令混淆」這件事,在 AI 系統中變得更加危險。
適合對 Web Security、SQL Injection、Prompt Injection、安全開發、DevSecOps,以及現代軟體安全有興趣的人觀看。