1、SQL注入成因:
通过SQL命令插入到Web变淡递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
2、SQL注入攻击原理:
由于SQL作为一种解析 型语言,在运行时是由一个运行时组件解析语言代码并执行其中包含的指令语言。基于这种执行方式产生了一系列叫做代码注入的漏洞。然而开发没有过滤敏感字符,绑定变量,导致攻击者可以利用SQL灵活多变的语法构造精心巧妙的语句,不着手段达成目的,或者通过系统报错返回对自己有用的信息。
(总:未经检查或者未经充分检查的用户输入数据意外的变成了代码被执行)
3、防止SQL注入:
1)、对于服务器配置层面的防范,应该保证生产环境的Webserver是关闭错误信息的,比如PHP在生产环境的配置文件php.ini中的display_errors应该设置为Off,这样就关闭了错误提示,下面我们更多的从编码的角度来看看如何防范SQL注入。
2)、检查变量数据类型和格式【只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式】
3)、过滤特殊符号【对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理】
4)、绑定变量,使用预编译语句
5)、数据库信息加密安全
SQL
注入成因
:
所谓
SQL
注入,就是通过把
SQL
命令插入到
Web
表单递交或输入域名或页面请求的查询
字符串,最终达到欺骗服务器执行恶意的
SQL
命令,比如先前的很多影视网站泄露
VIP
会
员密码大多就是通过
WEB
表单递交查询字符暴出的。
SQL
注入成因
:
所谓
SQL
注入,就是通过把
SQL
命令插入到
Web
表单递交或输入域名或页面请求的查询
字符串,最终达到欺骗服务器执行恶意的
SQL
命令,比如先前的很多影视网站泄露
VIP
会
员密码大多就是通过
WEB
表单递交查询字符暴出的。
SQL
注入成因
:
所谓
SQL
注入,就是通过把
SQL
命令插入到
Web
表单递交或输入域名或页面请求的查询
字符串,最终达到欺骗服务器执行恶意的
SQL
命令,比如先前的很多影视网站泄露
VIP
会
员密码大多就是通过
WEB
表单递交查询字符暴出的。
SQL
注入成因
:
所谓
SQL
注入,就是通过把
SQL
命令插入到
Web
表单递交或输入域名或页面请求的查询
字符串,最终达到欺骗服务器执行恶意的
SQL
命令,比如先前的很多影视网站泄露
VIP
会
员密码大多就是通过
WEB
表单递交查询字符暴出的。
3、SQL注入防御小结
1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。
扫一扫
1696
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
