用IBM Appsan扫描自己得web系统，扫描出sql盲入漏洞和跨站点请求伪造漏洞，不知道如何解决

1 sql盲注（Blind SQL Injection）
描述： SQL 盲注：通过使用撇号并注释掉查询的余下部分，附加布尔 True/False 字符串表达式

差异：以下更改已应用到原始请求：
已将参数“projectId”的值设置为“05aebf56-5bfb-4bcb-b9f1-586760dc8818'%20and%20'f'='f'%20--”

推理：
此测试会将条件选项附加到参数值后面，以验证其是否嵌入到后端的 SQL 查询中。已发送三（或四）个测试请求：最后一个在逻辑上等同于原始请求，并且倒数第二个请求是不同的（其他请求用于控制用途）。最后两个测试响应与原始测试响应的比较可确认附加的值确实已添加到了 SQL 查询中。


2 跨站点请求伪造(Cross-site Request Forgery)
描述： 将可能干扰 CSRF 攻击的 HTTP 头除去，并使用伪造的 URL 设置 Referer 头

差异：
以下更改已应用到原始请求：
已将 HTTP 头设置为“http://bogus.referer.ibm.com”

推理：
在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的（会话标识仅在 cookie 中发送），因此应用程序易受到此问题攻击。

还请各位大牛指点~谢谢~