从初始的学习数据库开始就听到和看到了SQL注入这样的词汇,当时也是很好奇什么是SQL注入,但是由于读了有些文章发现自己并看不懂SQL注入的文章,还由于SQL知识的匮乏,所以SQL注入这个知识一直被搁置,直到到了现在的牛腩再次听老师讲到SQL注入的问题,才决定重拾SQL注入知识,好好研究一番。
What—>是什么
百度百科:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
我的理解:SQL注入其实也是一种SQL语句,只不过是一种出乎意料的SQL语句,可能是用户不知道甚至故意输入的错误的语句,使得有漏洞不完美的程序遭到被破坏。
Why—>为什么
SQL注入为什么不安全,有了SQL注入就有数据被破坏的可能,不管你与不预想的到,他发生的可能性一直就存在。就好像一个房间有door却也有windows。如果你出门时候没有做好防盗保护措施(出门时候锁门却打开窗户,或者窗户没关紧),那么如果被贼盯上了损失即将很惨重,后面损失需要自己脑补。所以将思路再转到咱们的数据库和程序代码中,如果有些SQL语句在书写的时候想的不周到或者封装的不完美,那么很有可能会有人钻空子,来对你的数据进行破换更改等操作,所以SQL注入很危险。
How—>怎么做
上面说了SQL注入很危险,那么我们该怎样来尽量的避免和修补才能使数据尽可能的安全呢。有几种是目前一直很受欢迎的方法:
1.检查用户输入的合法性,确信输入的内容只包含合法的数据。进行输入验证,将不安全和不合法的输入扼杀在摇篮中。
2.避免出现一些详细的错误消息。
3.将用户登录名称、密码等数据加密保存。
4.存储过程来执行所有的查询,SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。
5.尽量给访问数据库的最低权限,避免不必要的修改。
自己目前对SQL注入方面的知识了解就有这些,还希望有更多理解的小伙伴能够给予评论,一起成长和进步。
3034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
