什么是sql 注入

<h4 style="text-align: start;">什么是SQL 注入</h4><p style="text-align: start;">SQL 注入，一般发生在注册、评论、添加等，只有有用户输入的地方，就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞，攻击者会利用这个漏洞，可以访问或修改数据，利用潜在的数据库漏洞进行攻击。</p><p style="text-align: start;">所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击.</p><h4 style="text-align: start;">SQL 注入危害</h4><p style="text-align: start;">任意的账号都可以登录，可以进行任意的操作，粗暴点讲，就是随便来。</p><h4 style="text-align: start;"> SQL注入分类</h4><ul><li style="text-align: start;">数字型注入</li></ul><p style="text-align: start;">当输入的参数为整数时，则有可能存在数字型漏洞。</p><ul><li style="text-align: start;">字符型注入</li></ul><p style="text-align: start;">当输入参数为字符串时，则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于：数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合。</p><p style="text-align: start;">字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。</p><ul><li style="text-align: start;">其他类型</li></ul><p style="text-align: start;">其实我觉得 SQL 注入只有两种类型：数字型与字符型。很多人可能会说还有如：Cookie 注入、POST 注入、延时注入等。</p><p style="text-align: start;">的确如此，但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。</p><p style="text-align: start;">以下是一些常见的注入叫法：</p><ul><li style="text-align: start;">POST注入：注入字段在 POST 数据中</li><li style="text-align: start;">Cookie注入：注入字段在 Cookie 数据中</li><li style="text-align: start;">延时注入：使用数据库延时特性注入</li><li style="text-align: start;">搜索注入：注入处为搜索的地方</li><li style="text-align: start;">base64注入：注入字符串需要经过 base64 加密</li></ul><h4 style="text-align: start;">SQL注入的防范措施</h4><p style="text-align: start;">凡是用户输入的地方，我们都应该防止黑客攻击，永远不要相信用户的输入。所以对应的防御措施分别有：</p><ul><li style="text-align: start;">添加正则验证，使用正则表达式过滤传入的参数。</li><li style="text-align: start;">屏蔽敏感词汇。</li><li style="text-align: start;">字符串过滤。</li></ul>

DreamCoders/CoderGuide

内容风险标识

评论 (0)

DreamCoders/CoderGuide .gitee-modal { width: 500px !important; }

内容风险标识