My Knowledge Tree
我对「注入攻击」的掌握
还没有本地学习记录。
双语术语 / Bilingual Term
- 中文
- 注入攻击
- English
- Injection Attack
- Aliases
- Injection
一句话解释
注入攻击是把恶意输入伪装成系统指令。
小白比喻
把它想成项目里的注入攻击标识牌:它不替你写代码,但会告诉 Codex 这里的规则、边界和风险。
具体例子 / Concrete Example
让 AI 把用户输入拼进 SQL:SELECT * FROM users WHERE email='${email}',就可能被注入。要用 prepared statement 绑定参数。
第一性原理
商业系统不是只跑通一次,而是要在变化、失败、多人协作和线上压力下仍然可理解、可验证。
为什么 AI Coding 时代必须懂
AI 可以快速实现局部代码,但如果指挥官没有写清 注入攻击,Codex 很容易只满足当前样例,漏掉真实项目里的边界。
商业项目事故
项目没有提前定义注入攻击相关规则,导致上线后才发现权限、数据、性能或恢复路径不符合商业要求。
指挥 Codex 时应该怎么问
请检查这个任务中的注入攻击要求,列出风险、实现策略和验收标准。任务卡里应该怎么写
在任务卡中单独写一节“注入攻击”,说明范围、约束、失败路径和验证方法。
验收标准怎么写
Codex 能给出与注入攻击相关的测试、日志、截图或配置证据,并说明未覆盖风险。
错误指令
先不用管注入攻击,功能能跑就行。
合格指令
实现前先定义注入攻击的边界和验收方式,并让 Codex 按清单自测。