SQL注入问题及解决方法

Mysql 同时被 2 个专栏收录
3 篇文章 0 订阅
6 篇文章 0 订阅

  SQL注入是一个安全问题,因为应用程序使用拼接SQL的技术而成为hacker攻击后台的方式。下面就介绍一下3种SQL注入,及解决SQL注入的方法。

下面以登录的机制为例,进行SQL注入的讲解。

1,基于 1=1 总为真

在这里插入图片描述

SELECT * FROM Users WHERE UserId = 105 OR 1=1;

黑客只需在输入字段中插入105或1=1,就可以访问数据库中的所有用户名和密码。

2,基于 ""=""总为真

在这里插入图片描述

SELECT * FROM Users WHERE Name ="" or ""="" AND Pass ="" or ""=""

or “”=""总为真(等号左边等于等号右边)

3,基于批处理SQL

在这里插入图片描述

SELECT * FROM Users WHERE UserId = 105; DROP TABLE Suppliers;

删除表Suppliers,很明显对数据库进行破坏,可能造成后台瘫痪。

4,防止SQL注入的解决方法---使用SQL参数
txtUserId = getRequestString("UserId");
sql = "SELECT * FROM Customers WHERE CustomerId = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txtUserID);
command.ExecuteReader();
  • 5
    点赞
  • 1
    评论
  • 12
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值