温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

网站是怎么防范SQL注入

发布时间:2021-12-21 11:54:46 来源:亿速云 阅读:142 作者:柒染 栏目:大数据

这期内容当中小编将会给大家带来有关网站是怎么防范SQL注入,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

我们知道现在大部分网站的数据库都是用的MYSQL,当网站出现如下方这样的表单的时候,表单需要将数据录入数据库,但如果有个人非常熟悉MYSQL的语句,并且知道了表单的名称(和列名称),网站的拥有者并不注意这些的时候,那么他就可以轻松地注入。

网站是怎么防范SQL注入

如我的这个页面中这个语句,就是非常容易收到攻击的例子。

    网站是怎么防范SQL注入

为了方便解释,我们把它简化一下:

mysqli_query($conn,"insert into XXXX(pick_name) values ('$_POST[pickName]')");

我们知道,它是将表单传过来的 pickName(对应表单中的 拾物名称*) 参数传递到数据库内的XXXX中的pick_name列里

但如果“用户”知道我们的表单名称,它输入:value');Delect from XXXX;--

如此,整个语句变成了:

mysqli_query($conn,"insert into XXXX(pick_name) values ('value');Delect from XXXX;--')");

那么恭喜你,XXXX这个表就消失了。

于是如果我敢这么输入的话,我也把自己的网站黑了。网站是怎么防范SQL注入

网站是怎么防范SQL注入

又比如php手册中这个可怕的例子(MSSQL):

攻击数据库所在主机的操作系统(MSSQL Server)

<?php

$query  = "SELECT * FROM products WHERE id LIKE '%$prod%'";

$result = mssql_query($query);

?>

如果攻击提交 a%' exec master..xp_cmdshell 'net user test testpass /ADD' -- 作为变量 $prod的值,那么 $query 将会变成

<?php

$query  = "SELECT * FROM products

                    WHERE id LIKE '%a%'

                    exec master..xp_cmdshell 'net user test testpass /ADD'--";

$result = mssql_query($query);

?>

MSSQL服务器会执行SQL的这条语句,添加了一个用户,如此攻击者将有可能获得一个账号访问主机。

网站是怎么防范SQL注入

从上面大家也可以看到,SQL注入的关键就在于能否知道表的名称,如果你还想弄一些小玩意儿,那你还得知道列名。这里和我们的题目无关就不再多讲了。接下来讲一下如何防范SQL注入。

常用的防范措施有两种,一种是预处理语句、还有一种就是参数化查询,这里我们讲预处理语句。

$stmt = $conn->prepare('SELECT * FROM XXXX WHERE name = ?');  

$stmt->bind_param('s', $name);  

$stmt->execute();  

bind_param就是将$name变量捆绑进入?中.'s'的意思是$name所对应的变量必须是一个字符串,这样我们就固定了它必须是一个字符串,它不能转化为命令。从而使得SQL注入无效。

上述就是小编为大家分享的网站是怎么防范SQL注入了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

sql
AI