SQL注入

点击"论语孔丘",干货文章,第一时间送达!

SQ注入

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,以达到欺骗服务器执行恶意的SQL命令

SQL注入产生原因

SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时的攻击行为。其成因可以归结为以下两个原因所造成的:

1.在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句

2.未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中

SQL注入攻击方式

SQL注入攻击方式根据应用程序处理数据库返回内容的不同分为三种:

1.可显示注入:直接在当前页面上获取所需要的内容

2.报错注入:数据库查询返回结果没有在页面显示,在应用程序中打印报错信息,通过构造数据库报错语句,从报错信息中获取所需要的内容

3.盲注:数据库查询返回结果不能页面中获取,通过数据库逻辑或使数据库库执行延时等方法获取所需要的内容

1.经过采用预编译语句集,防止SQL注入

2.采用正则表达式单引号(')、分号(;) 、注释符号(--)替换来防止SQL注入

3.使用Hibernate框架的SQL注入防范(Hibernate的好处是1.安全2.提高开发效率)通过参数化的方式来防范SQL注入,不采用拼接方式。

关注一下 小编会做得更好

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180529G0EAGK00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券