web安全之SQL注入

發布時間：2020-07-02 22:46:51 來源：網絡閱讀：385 作者：qq5b44b6009004a 欄目：web開發

一、如何理解SQL注入？

SQL注入是一種將SQL代碼添加到輸入參數中
傳遞到SQL服務器解析并執行的一種×××手法

二、SQL注入是怎么產生的？

WEB開發人員無法保證所有的輸入都已經過濾
×××者利用發送給SQL服務器的輸入數據構造可執行的SQL代碼
數據庫未做相應的安全配置

三、如何尋找SQL輸入漏洞？

==借助邏輯推理==

1. 識別web應用中所有輸入點

GET數據
POST數據
HTTP頭信息

2. 了解哪些類型的請求會觸發異常

3. 檢測服務器響應中的異常

四、如何進行SQL注入×××？

1. 數字注入

使用 or 讓 where語句永遠為真：數字注入 id=-1 or 1=1

SELECT * FROM table WHERE id = -1 OR 1=1

2. 字符串注入

使用#或者--空格

mysql注釋方式 #注釋

SELECT * FROM table WHERE name='name'#' AND password = '123456'

mysql注釋方式 --空格注釋

SELECT * FROM table WHERE name='name'-- ' AND password = '123465'

五、如何預防SQL注入？

1 嚴格檢查輸入變量的類型和格式

預先知道傳入的參數類型，根據參數類型判斷，可以防止某種類型的注入

is_numeric(); 判斷字符串數字
使用正則表達式判斷字符串類型

2 過濾和轉義特殊字符

對特定字符進行轉義

使用php函數轉義特殊字符：
addslashes($name);
使用mysql函數轉義特殊字符：
mysqli_real_escape_string($db,$name);

3 利用MySQL的預編譯機制

向AI問一下細節

91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

web安全之SQL注入

一、如何理解SQL注入？

二、SQL注入是怎么產生的？

三、如何尋找SQL輸入漏洞？

1. 識別web應用中所有輸入點

2. 了解哪些類型的請求會觸發異常

3. 檢測服務器響應中的異常

四、如何進行SQL注入×××？

1. 數字注入

2. 字符串注入

五、如何預防SQL注入？

1 嚴格檢查輸入變量的類型和格式

2 過濾和轉義特殊字符

3 利用MySQL的預編譯機制

猜你喜歡

91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

web安全之SQL注入

一、如何理解SQL注入？

二、SQL注入是怎么產生的？

三、如何尋找SQL輸入漏洞？

1. 識別web應用中所有輸入點

2. 了解哪些類型的請求會觸發異常

3. 檢測服務器響應中的異常

四、如何進行SQL注入×××？

1. 數字注入

2. 字符串注入

五、如何預防SQL注入？

1 嚴格檢查輸入變量的類型和格式

2 過濾和轉義特殊字符

3 利用MySQL的預編譯機制

猜你喜歡

最新資訊

相關推薦

相關標簽