攻击
小理解:
目前的Web应用中,绝大多数都会下那个用户提供一个接口,用来进行权限验证、搜索、查询信息等功能。比如一个在线银行应用,首先会有对注册客户进行身份验证的登陆界面,在正确登陆后,会提供更多交互功能,如根据客户的银行卡号信息,查询客户的最近交易、转账细节等。这些都是诸如缺陷的最贱场景。
假设在一个交易网站中,用户必须输入产品ID好才可以查看该产品的详细信息。为了实现这个需求,通常会用SQL语句查询数据库来实现。开发人员在编写应用程序时,如果用户输入325,可能会使用如下的SQL语句来实现。
Select * from T_User where ID =’325’
没有写完,我在回来。