您永远不必信任用户输入，无论这是字符串、条形码还是二维码。所有这些，都可以利用您的应用程序。例如。SQL注入。看看这个PDF，它对你的问题非常有用:) http://qrcodethursday.files.wordpress.com/2011/03/qr_code_security.pdf

奖励：我不知道这是一个笑话还是真的，但有道理：http ://cicero.files.wordpress.com/2010/04/500x_for_traffic_cameras.jpg

这是您可能面临的一些风险：

1. 如果二维码将您链接到有毒网站，该网站可能会尝试利用您的浏览器，危险取决于您的浏览器是否安全或存在漏洞以及利用的类型。

2. 二维码可以利用扫描仪应用程序，这种利用可以通过故意损坏的二维码执行，该代码会影响扫描仪应用程序的进程，显然只有扫描仪应用程序易受攻击，才能成功利用。与第一种情况一样，危险取决于勘探的类型。

参考

二维码 - 维基百科

二维码，快速响应码，也称为二维码，是一个白色的小方块，上面覆盖着一小块黑色。它可以被智能手机的摄像头读取，一旦读取，它可以立即将智能手机用户重定向到网页。
如何使用二维码？
二维码可用于营销业务的多种方式，通过对一般文本、URL、电话号码、名片进行编码，甚至提供 WiFi 访问，提供有关产品或服务的更多信息。
最佳实践
* 如果它闻起来很腥，就把它扔回去。我们大多数人都不想打开显然是垃圾邮件的电子邮件。但是，QR 码很棘手，因为您无法仅通过查看代码就可以将坏的从好的中剔除。由于该漏洞实际上是设计的一部分，请考虑在您的手机上下载一个应用程序，该应用程序在打开网页之前提供每个代码的预览（例如：I-nigma）。这样，如果您认为二维码已损坏，您将有权拒绝。
* 记住一句古老的谚语，“好奇害死猫。” 黑客以好奇心为食，因此，如果您看到墙上贴着一个孤独的二维码，请不要扫描它以找出它为什么存在以及它的作用。

三星 USSD 远程擦除攻击可以通过嵌入 url/tel 链接的 QR 码来执行。Eko 派对视频。
或者甚至可以使用 pdf 的 url pwn 你的内核。越狱V3。