初见SQL注入

前言

       在《OWASP-TOP10之注入》一文中讲了注入的出现原因:一个恶意输入是,并且应用程序并未判断为无效输入或者说并未进行拦截和过滤,这时候注入漏洞就出现了。那么本文要讲的sql注入,就是针对数据库的一个恶意输入。

 

一、定义

       SQL注入是什么呢?百度曰:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。我个人的见解是业务逻辑没有对用户传来的参数进行安全过滤,直接拼接到SQL语句,导致数据库被注入恶意的SQL命令,这个过程就叫SQL注入。

 

二、原理

       SQL注入的本质就是数据库把用户输入的数据当作代码来执行。因为开发者自己没有合理的对用户输入的数据进行判断分析,导致用户的输入直接传递到数据库,数据库只会判断应用传来的SQL语句是否有语法错误,而无法判断是否是应用开发者预期的动作,于是数据库执行了用户传来的在作者预期之外的SQL语句,输出开发者预期之外的数据,导致了数据泄漏。

 

三、危害

1、被篡改数据;

2、被攻击者获取敏感数据;

3、被攻击者执行数据库管理者权限操作;

4、被提权,攻击者能执行系统命令,造成更大不可估量的损失;

……

       SQL注入漏洞目前是被划到高危漏洞营区,其可能导致的危害是数不胜数,所以,提前做好防御,是非常有必要的。

 

四、如何防御

1、使用存储过程;

2、使用安全函数;

3、采用SQL语句预编译和绑定变量;

4、严格检查用户输入的参数的数据类型;

5、构造SQL语句的时候用参数的形式,而不是直接进行拼接;

 

五、常见SQL注入类别

       本文我讲粗略的介绍一下几种注入的类别,后续将推出针对每一种类型详细介绍的文章。

1、根据注入结果是否回显分类

       在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数据展示在页面中,这个展示数据的位置就叫回显位。

 

1.1、有回显

1.1.1报错注入:根据页面返回的报错数据不断试探进行注入;

1.1.2union联合查询注入:根据一次次的试探结果,确定表、库、字段名等,最后利用sql语句中union操作符的特性进行注入。

 

1.2、没有回显即盲注

       不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。一般是根据构造真或假的问题对数据库进行试探。

1.2.1、布尔盲注:在正确与错误参数下,页面返回的信息有所不同,根据这个特性来判断SQL语句是否正确,以此来进行注入;

1.2.2、时间盲注:根据时间来判断执行是否成功,在构造的语句中加入sleep类参数,如果语句正确则会延迟,如果错误则不延迟,根据这个特性来判断SQL语句是否正确,以此来进行注入;

 

2、根据注入点类型分类

       输入不同的参数,来进行注入;

2.1、数字型注入:输入的参数为整数型时,如年龄、序号、身份证号等;

2.2、字符型注入:输入的参数为字符串型时,如名字、学校、性别等;

 

3、根据数据提交的位置来分类

3.1、搜索注入:注入的位置在搜索框中;

3.2、GET注入:注入的位置在URL参数中;

3.3、Cookie注入:注入的位置在Cookie数据中;

3.4、POST注入:注入的位置在POST提交的数据中;

3.5、HTTP头部注入:注入的位置在HTTP包的头部信息中;

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
数据预处理、建模和可视化是数据分析过程中非常重要的环节,这些环节的成功与否直接影响到数据分析的结果与价值。作为CSDN数据分析的三大关键步骤,数据预处理、建模和可视化的作用是多方面的。 首先,数据预处理的目的是对原始数据进行清洗、处理和转换,以便更好地进行后续数据分析。数据预处理有很多种方法,如数据清洗、缺失值填充、异常值处理、数据集成、数据降维等。只有在预处理阶段对数据进行充分准确的处理,才能保证后续的建模和可视化的准确性。 其次,建模是数据分析的核心步骤,是通过数据分析来建立模型的过程,目标是对数据进行预测和决策。建模过程包括选择建模方法,配置模型参数,模型训练和模型评估等步骤。建模需要根据实际问题选择合适的建模方法,并进行适量的特征工程和模型调参,以获得最优的预测和决策效果。 最后,可视化是数据分析结果的展示方式,旨在将结果呈现给用户,在数据探索和决策时加强用户的感性理解。可视化可以采用多种图表形式,例如柱状图、折线图、散点图等,也可以通过交互式可视化系统进行交互操作表示。通过可视化,数据分析器可以更直观地理解数据分析的结果,为后续的分析和决策提供有力支持。 综上所述,CSDN数据分析中的数据预处理、建模和可视化是相互依存、相辅相成的环节,只有将它们表现得尽善尽美,我们才能解决实际问题,提高数据因信而产生的价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值