提示注入和注入攻击同根同源

WesEklund · x · 2026-07-10

这条帖把 **SQL injection、XSS、Prompt injection** 归结为同一种漏洞:**用户输入被当成了指令**。 作者强调三者的共同根因都是把不可信数据直接拼进控制逻辑里: - SQL:输入变成查询逻辑 - HTML:输入变成页面代码 - LLM:输入变成系统行为 对应的修复思路也相同:**把控制面和数据面分离**,永远不要把不可信输入直接连接到会影响行为的部分。

原文链接 →