Sign in
Sign up
Explore
Enterprise
Education
Search
Help
Terms of use
About Us
Explore
Enterprise
Education
Gitee Premium
Gitee AI
AI teammates
Sign in
Sign up
Fetch the repository succeeded.
Donate
Please sign in before you donate.
Cancel
Sign in
Scan WeChat QR to Pay
Cancel
Complete
Prompt
Switch to Alipay.
OK
Cancel
Watch
Unwatch
Watching
Releases Only
Ignoring
3
Star
45
Fork
21
DreamCoders
/
CoderGuide
Code
Issues
1169
Pull Requests
0
Wiki
Insights
Pipelines
Service
JavaDoc
PHPDoc
Quality Analysis
Jenkins for Gitee
Tencent CloudBase
Tencent Cloud Serverless
悬镜安全
Aliyun SAE
Codeblitz
SBOM
Don’t show this again
Update failed. Please try again later!
Remove this flag
Content Risk Flag
This task is identified by
as the content contains sensitive information such as code security bugs, privacy leaks, etc., so it is only accessible to contributors of this repository.
什么是sql 注入
Backlog
#IAG9Q4
陌生人
owner
Opened this issue
2024-07-29 16:07
<h4 style="text-align: start;">什么是SQL 注入</h4><p style="text-align: start;">SQL 注入,一般发生在注册、评论、添加等,只有有用户输入的地方,就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞,攻击者会利用这个漏洞,可以访问或修改数据,利用潜在的数据库漏洞进行攻击。</p><p style="text-align: start;">所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.</p><h4 style="text-align: start;">SQL 注入危害</h4><p style="text-align: start;">任意的账号都可以登录,可以进行任意的操作,粗暴点讲,就是随便来。</p><h4 style="text-align: start;"> SQL注入分类</h4><ul><li style="text-align: start;">数字型注入</li></ul><p style="text-align: start;">当输入的参数为整数时,则有可能存在数字型漏洞。</p><ul><li style="text-align: start;">字符型注入</li></ul><p style="text-align: start;">当输入参数为字符串时,则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于:数字型不需要单引号闭合,而字符型一般需要使用单引号来闭合。</p><p style="text-align: start;">字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。</p><ul><li style="text-align: start;">其他类型</li></ul><p style="text-align: start;">其实我觉得 SQL 注入只有两种类型:数字型与字符型。很多人可能会说还有如:Cookie 注入、POST 注入、延时注入等。</p><p style="text-align: start;">的确如此,但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。</p><p style="text-align: start;">以下是一些常见的注入叫法:</p><ul><li style="text-align: start;">POST注入:注入字段在 POST 数据中</li><li style="text-align: start;">Cookie注入:注入字段在 Cookie 数据中</li><li style="text-align: start;">延时注入:使用数据库延时特性注入</li><li style="text-align: start;">搜索注入:注入处为搜索的地方</li><li style="text-align: start;">base64注入:注入字符串需要经过 base64 加密</li></ul><h4 style="text-align: start;">SQL注入的防范措施</h4><p style="text-align: start;">凡是用户输入的地方,我们都应该防止黑客攻击,永远不要相信用户的输入。所以对应的防御措施分别有:</p><ul><li style="text-align: start;">添加正则验证,使用正则表达式过滤传入的参数。</li><li style="text-align: start;">屏蔽敏感词汇。</li><li style="text-align: start;">字符串过滤。</li></ul>
<h4 style="text-align: start;">什么是SQL 注入</h4><p style="text-align: start;">SQL 注入,一般发生在注册、评论、添加等,只有有用户输入的地方,就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞,攻击者会利用这个漏洞,可以访问或修改数据,利用潜在的数据库漏洞进行攻击。</p><p style="text-align: start;">所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.</p><h4 style="text-align: start;">SQL 注入危害</h4><p style="text-align: start;">任意的账号都可以登录,可以进行任意的操作,粗暴点讲,就是随便来。</p><h4 style="text-align: start;"> SQL注入分类</h4><ul><li style="text-align: start;">数字型注入</li></ul><p style="text-align: start;">当输入的参数为整数时,则有可能存在数字型漏洞。</p><ul><li style="text-align: start;">字符型注入</li></ul><p style="text-align: start;">当输入参数为字符串时,则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于:数字型不需要单引号闭合,而字符型一般需要使用单引号来闭合。</p><p style="text-align: start;">字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。</p><ul><li style="text-align: start;">其他类型</li></ul><p style="text-align: start;">其实我觉得 SQL 注入只有两种类型:数字型与字符型。很多人可能会说还有如:Cookie 注入、POST 注入、延时注入等。</p><p style="text-align: start;">的确如此,但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。</p><p style="text-align: start;">以下是一些常见的注入叫法:</p><ul><li style="text-align: start;">POST注入:注入字段在 POST 数据中</li><li style="text-align: start;">Cookie注入:注入字段在 Cookie 数据中</li><li style="text-align: start;">延时注入:使用数据库延时特性注入</li><li style="text-align: start;">搜索注入:注入处为搜索的地方</li><li style="text-align: start;">base64注入:注入字符串需要经过 base64 加密</li></ul><h4 style="text-align: start;">SQL注入的防范措施</h4><p style="text-align: start;">凡是用户输入的地方,我们都应该防止黑客攻击,永远不要相信用户的输入。所以对应的防御措施分别有:</p><ul><li style="text-align: start;">添加正则验证,使用正则表达式过滤传入的参数。</li><li style="text-align: start;">屏蔽敏感词汇。</li><li style="text-align: start;">字符串过滤。</li></ul>
Comments (
0
)
Sign in
to comment
Status
Backlog
Backlog
Doing
Done
Closed
Assignees
Not set
Labels
Html/JS/CSS
Not set
Label settings
Milestones
No related milestones
No related milestones
Pull Requests
None yet
None yet
Successfully merging a pull request will close this issue.
Branches
No related branch
No related branch
master
Planed to start - Planed to end
-
Top level
Not Top
Top Level: High
Top Level: Medium
Top Level: Low
Priority
Not specified
Serious
Main
Secondary
Unimportant
参与者(1)
1
https://gitee.com/DreamCoders/CoderGuide.git
git@gitee.com:DreamCoders/CoderGuide.git
DreamCoders
CoderGuide
CoderGuide
Going to Help Center
Search
Git 命令在线学习
如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
Comment
Repository Report
Back to the top
Login prompt
This operation requires login to the code cloud account. Please log in before operating.
Go to login
No account. Register
