sql注入攻击的原理
通过各种手段将sql语句注入到数据库执行,得到数据库中的数据信息,如用户名与密码。当然有可能是操作系统的权限。
常用的注入sql关键字有,select ,delete,update,insert,分号,or。
1.我们只要在web服务中增加一个过滤器来,过滤掉这样的参数就像了,当然要注意大小写,让黑客无法注入就可以了。
2.要想执行某些sql命令或是存储过程,需要连接mysql数据库用户有特定的权限,这样我们只要控制web应用中连接数据库的用户权限,让它不能执行就可以了。
3.要获取系统root权限,要是数据库都没有root权限,就是我们使用普通用户来运行mysql数据库,这样就不会被黑客获取系统权限了。