SQL注入是什么
SQL注入的定义
- 为了破坏或盗取指定服务器重要信息, Web请求时通过参数改动传递一些恶意的 SQL语句来执行, 这种行为叫 SQL注入
常见 SQL注入攻击方式
- 攻击前会先收集相关服务地址和参数以及观察系统操作流程等, 然后指定入口改动部分参数尝试请求让目标服务报错误或通过传递 SQL语句改动服务器实际业务语句, 以此盗取重要信息
防止 SQL注入
- 不要信任用户的输入, 必须对每一个参数值做好过滤
- 不要使用动态拼接 SQL语句
- 在项目内不要使用 root账号连接数据库
- 机密信息不要明文保存, 一定要加密保存
- 应用的异常信息尽可能不要太具体, 最好使用自定义的错误信息对原始错误信息进行包装
- 项目接口一定采用辅助软件或网站平台来做自动化检测, 常用检测工具 如: sqlmap 渗透测试工具, JSky 漏洞扫描软件, 啊D注入工具 等
如果您觉得有帮助,欢迎点赞哦 ~ 谢谢!!