sql注入笔记

sql注入笔记

1.什么是sql注入:
      sql注入是将sql代码添加到输入参数中,传递sql服务器解析并执行的一种攻击手法。
sql参数未经过滤直接拼接到sql语句当中, 解析执行,到达预想之外的效果
$sql=” select * from  where id=-1 OR 1=1″;  //OR 1=1  条件查询整张表的

2.sql注入是怎么产生的
 web开发人员无法做到所有的输入都已经过滤;
攻击者利用发送给sql服务器的输入数据,构造可执行的sql代码;
数据库未做相应安全配置。
3.寻找sql注入漏洞
  借助逻辑推理:
         识别web应用中的所有输入点:get数据、 post数据,http头信息
        了解哪些类型的请求会触发异常:在get或post提交数据时,添加单引号,多引号
        检测服务器相应中的异常:
4.如何进行sql注入攻击:
  数字注入:在where条件中添加数字 ,如 select * from  where id=-1 OR 1=1
字符串注入:在用户名input框输入;admin‘# ‘闭合字符串,#注释后面的密码信息,或者用 — 代替 都起到注释后面密码信息的作用。
5.如何预防sql注入
  a.严格检查输入变量的类型和格式;
//数字校验
if (empty($id) || !is_numeric($id)) {
    echo ‘id不能为空必须为数字’;
}
//字符校验
if (empty($name)||preg_match(‘/^[a-zA-Z0-9]{4,}$/’,$name)){
    echo ‘名字不能为空,字符必须在4个以上的符合条件的字符’;
}

b.过滤和转义特殊字符:包括单引号,双引号,反斜杠,通过addslashes()转义,
或者通过mysqli_real_escape_string()效果一样。
c.利用mysqli的预编译机制
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/112731.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • wireshark抓包分析[通俗易懂]

    wireshark抓包分析[通俗易懂]TCP协议首部:分析第一个包:源地址:我自己电脑的IP,就不放上来了Destination:222.199.191.33目的地址TCP:表明是个TCP协议Length:66表明包的长度

  • 手把手实现Java图书管理系统(附源码)_图书管理系统项目背景

    手把手实现Java图书管理系统(附源码)_图书管理系统项目背景基于JavaWeb开发的图书管理系统实现功能数据库运行环境图书馆作为一种信息资源的集散地,图书和用户借阅资料繁多,包含很多的信息数据的管理,现今,有很多的图书馆都是初步开始使用,甚至尚未使用计算机进行信息管理。图书馆信息管理作为计算机应用的一个分支,有着手工管理无法比拟的优点,如检索迅速、查找方便、可靠性高、存储量大、保密性好、寿命长、成本低等。这些优点很大程度的提高了管理图书馆信息的工作效率,节省了大量资金,方便了师生对图书的借阅和归还。图书馆管理系统代表了图书馆管理的信息化,不仅是体现图书馆现代化形

  • ESXI 6.5 从载到安装

    ESXI 6.5 从载到安装

  • 关于insertBefore是怎么使用的

    关于insertBefore是怎么使用的insertBefore接收两个参数第一个参数是将要进行插前操作的对象第二个参数是被插前的对象也可以称为参考对象调用者为你要操作的元素的父级如下例:<!DOCTYPE ht

  • phpstorm 激活码(注册激活)[通俗易懂]

    (phpstorm 激活码)2021最新分享一个能用的的激活码出来,希望能帮到需要激活的朋友。目前这个是能用的,但是用的人多了之后也会失效,会不定时更新的,大家持续关注此网站~https://javaforall.cn/100143.htmlIntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,上面是详细链接哦~ML…

  • uniqueidentifier类型_unique和normal

    uniqueidentifier类型_unique和normal@uuidasnvarchar(max))+””转载于:https://my.oschina.net/xuyuchends/blog/852105

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号