温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
获取短信验证码
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》
登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

web安全之SQL注入

发布时间:2020-07-02 22:46:51 来源:网络 阅读:370 作者:qq5b44b6009004a 栏目:web开发

一、如何理解SQL注入?

  1. SQL注入是一种将SQL代码添加到输入参数中
  2. 传递到SQL服务器解析并执行的一种×××手法

二、SQL注入是怎么产生的?

  1. WEB开发人员无法保证所有的输入都已经过滤
  2. ×××者利用发送给SQL服务器的输入数据构造可执行的SQL代码
  3. 数据库未做相应的安全配置

三、如何寻找SQL输入漏洞?

==借助逻辑推理==

1. 识别web应用中所有输入点

  1. GET数据
  2. POST数据
  3. HTTP头信息

2. 了解哪些类型的请求会触发异常

3. 检测服务器响应中的异常

四、如何进行SQL注入×××?

1. 数字注入

  1. 使用 or 让 where语句永远为真:数字注入 id=-1 or 1=1

SELECT * FROM table WHERE id = -1 OR 1=1

2. 字符串注入

使用#或者--空格

  1. mysql注释方式 #注释

SELECT * FROM table WHERE name='name'#' AND password = '123456'

  1. mysql注释方式 --空格 注释

SELECT * FROM table WHERE name='name'-- ' AND password = '123465'

五、如何预防SQL注入?

1 严格检查输入变量的类型和格式

  • 预先知道传入的参数类型,根据参数类型判断,可以防止某种类型的注入
  1. is_numeric(); 判断字符串数字
  2. 使用正则表达式判断字符串类型

2 过滤和转义特殊字符

  1. 对特定字符进行转义
使用php函数转义特殊字符:
addslashes($name);
使用mysql函数转义特殊字符:
mysqli_real_escape_string($db,$name);

3 利用MySQL的预编译机制

向AI问一下细节
推荐阅读:
  1. 认识安全测试之SQL注入
  2. WEB安全之CSRF&ClickJacking

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

php mysql

猜你喜欢

最新资讯
相关推荐

相关标签

phpredis php时间 phpunit 编译php lamp之php安装 php内存 php分页 php生成二维码 编译安装php php程序设计 php开发环境 php入门 php 数组 firephp php解析url PHP运算符 thinkphp3.1 thinkphp3.1.2 phpinfo() cakephp
AI

产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529