超级会员免费看
本文详细介绍了SQL注入的概念、产生原因、不同类型注入手法,包括数字型、字符型、联合查询注入等,并通过实例展示了如何判断和利用注入漏洞。同时,列举了报错注入、回显注入、基于布尔和时间的盲注等多种攻击方式,以及HTTP头注入和DNSLog注入。最后,讨论了SQL注入的危害,并提出了预编译、输入验证、权限区分等防范措施。
漏洞原因
一些概念:
SQL:用于数据库中的标准数据查询语言。
web分为前端和后端,前端负责进行展示,后端负责处理来自前端的请求并提供前端展示的资源。
而数据库就是存储资源的地方。
而服务器获取数据的方法就是使用SQL语句进行查询获取。
SQL注入:所谓的sql注入就是通过某种方式将恶意的sql代码添加到输入参数中,然后传递到sql服务器使其解析并执行的一种攻击手法
SQL可分为平台层注入和代码层注入。
平台层注入:由于不安全的数据库配置或数据库平台的漏洞导致。
代码层注入:程序员对输入没有细致地过滤,从而执行了非法地数据查询。
原因:在前后端数据的交互中,前端的数据传到后台处理时,没有做严格的判断,导致其传入的数据拼接到SQL语句中,被当成SQL语句的一部分执行,从而导致数据库受损,信息丢失。
总结版:后台服务器接收相关参数未经过过滤直接带入数据库查询。
例子:
比如这是一条前端URL:https://www.jb51.net/aboutus.php?id=1
其后台sql语句:$sql&#
订阅专栏 解锁全文
扫一扫
21万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
