常见的Web安全漏洞:SQL注入、XSS跨站脚本攻击、文件上传漏洞、URL跳转漏洞,今天分享下SQL注入。
SQL注入可能造成:网页和数据被改,核心数据被窃,数据库所在的服务器被攻击
1.SQL注入的产生条件
3.SQL注入类型
3.数据类型
4.防御SQL注入
1.SQL注入的产生条件
SQL注入的产生条件:有参数传递、参数值代入数据库查询并且执行,后台在编写程序时没有对输入的数据进行过滤。
比如:用户在查询课程的输入框提交的参数是mysql,此时,
浏览器提交的URL为:
192.168.5.249:8080/index.php?coursename=mysql
服务器后台执行的SQL语句为:
SELECT * FROM course WHERE coursename=mysql
这样正常的输入是没任何影响到,但是如果进行SQL注入,输入mysql; DROP table,这种情况下,服务器后台则执行的SQL语句为:
SELECT * FROM course WHERE coursename=mysql; DROP table
在执行查询课程的过程后,将course表给删除,从而导致了SQL注入
2.SQL注入类型
基于布尔的盲注、基于时间的盲注、基于报错的注入、联合查询注入、堆查询注入、其他