温馨提示×

温馨提示×

您好，登录后才能下订单哦！

密码登录×

忘记密码？

登录注册×

获取短信验证码

其他方式登录

点击登录注册即表示同意《亿速云用户服务条款》

用户登录×

账户密码登录

请使用微信扫描上方二维码

使用帮助

请求超时！

请点击重新获取二维码

web安全之SQL注入

发布时间：2020-07-02 22:46:51 来源：网络阅读：385 作者：qq5b44b6009004a 栏目：web开发

一、如何理解SQL注入？

SQL注入是一种将SQL代码添加到输入参数中
传递到SQL服务器解析并执行的一种×××手法

二、SQL注入是怎么产生的？

WEB开发人员无法保证所有的输入都已经过滤
×××者利用发送给SQL服务器的输入数据构造可执行的SQL代码
数据库未做相应的安全配置

三、如何寻找SQL输入漏洞？

==借助逻辑推理==

1. 识别web应用中所有输入点

GET数据
POST数据
HTTP头信息

2. 了解哪些类型的请求会触发异常

3. 检测服务器响应中的异常

四、如何进行SQL注入×××？

1. 数字注入

使用 or 让 where语句永远为真：数字注入 id=-1 or 1=1

SELECT * FROM table WHERE id = -1 OR 1=1

2. 字符串注入

使用#或者--空格

mysql注释方式 #注释

SELECT * FROM table WHERE name='name'#' AND password = '123456'

mysql注释方式 --空格注释

SELECT * FROM table WHERE name='name'-- ' AND password = '123465'

五、如何预防SQL注入？

1 严格检查输入变量的类型和格式

预先知道传入的参数类型，根据参数类型判断，可以防止某种类型的注入

is_numeric(); 判断字符串数字
使用正则表达式判断字符串类型

2 过滤和转义特殊字符

对特定字符进行转义

使用php函数转义特殊字符：
addslashes($name);
使用mysql函数转义特殊字符：
mysqli_real_escape_string($db,$name);

3 利用MySQL的预编译机制

向AI问一下细节

推荐阅读：

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：is@yisu.com进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。

上一篇新闻：
php中的错误处理机制
下一篇新闻：
好程序员大数据学习路线分享函数+map映射+元祖

猜你喜欢

AI
助
手

产品服务

地区划分

专题活动

帮助支持

关于我们

售后咨询

7*24小时在线电话：400-100-2938

7*24小时在线 QQ：800811969

关注亿速云

亿速云公众号

手机网站二维码