用户可以提交一段数据库查询代码, 根据程序返回的结果,获得某些他想得知的数据或进行数据库操作;
0x00 的危害与防御
SQL注入漏洞危害:
例如数据库被拖库,管理员和重要人员信息泄露,甚至还能通过SQL...,那么通过在第一个查询后注入一个UNION运算符,并添加另一个任意查询,便可读取到数据库用户有权限访问的任何一张表 (主要需要进行测试占位符) 。...2) 了解代码使用的框架或者代码结构,看代码对请求进行路由和分发的方式,路由分发方式的设计和实现是否存在隐患,记录一下再看看是否有一些统一的安全filter,记录下他的特性(任何统一的安全filter都会因为不了解后端调用的场景而产生绕过...同时在用户输入处进行测试,表单提交,get/post/request,关注API接口等等请求SQL注入测试。...| 从cookie中得到的数据 ;
监测方面目前大多都是日志监控+WAF(统一的filter),部署防SQL注入系统或脚本 ;
数据库日志容易解析,语法出错的、语法读Info表的建立黑白名单机制,