SQL注入
原理:
SQL注入是指Web应用程序对用户输入数据的合法性未进行判断、处理,前端传入的参数是攻击者可控的,并且参数被正常的带入到数据库查询,攻击者可以通过构造不同的SQL语句来进行对数据库的操作,正常情况下,攻击者可以对数据库进行高危操作,例如,数据查询、WebShell写入、命令执行等操作。
防御:
1、严格控制用户的权限
2、参数传值
3、基础过滤与二次过滤
4、使用安全参数
5、多层验证
6、数据库信息加密
SQL注入
原理:
SQL注入是指Web应用程序对用户输入数据的合法性未进行判断、处理,前端传入的参数是攻击者可控的,并且参数被正常的带入到数据库查询,攻击者可以通过构造不同的SQL语句来进行对数据库的操作,正常情况下,攻击者可以对数据库进行高危操作,例如,数据查询、WebShell写入、命令执行等操作。
防御:
1、严格控制用户的权限
2、参数传值
3、基础过滤与二次过滤
4、使用安全参数
5、多层验证
6、数据库信息加密