目錄
SQL注入簡介
SQL注入條件
SQL注入防禦方式
SQL注入簡介
SQL注入是常見的網絡攻擊方式之一,它不是利用系統的BUG來實作攻擊,是針對程式編寫時的疏忽,通過輸入框鍵入SQL語句,在系統内執行,導緻資訊洩露。
示例: 查詢編号為=‘1’的結果,在輸入端輸入1';drop table user;
後端資料擷取輸入參數,直接進行sql拼接,即 select * from user where id='1';drop table user; 執行,此時資料庫會執行兩條SQL,系統被删表。
SQL注入條件
了解系統資料庫表;
表結構暴露方式:開源系統、錯誤回顯、根據參數名稱盲目推測
SQL注入防禦方式
1、過濾特殊符号
2、預編譯