软件测试面试题:SQL注入漏洞产生的原因?如何防止?

最新推荐文章于 2024-05-17 13:53:08 发布
最新推荐文章于 2024-05-17 13:53:08 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: pytest框架 测试计划 自动化测试 文章标签: 软件测试 功能测试 selenium 单元测试 postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stetstet/article/details/124066323
版权

SQL注入漏洞产生的原因?如何防止?

SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。

防止SQL注入的方式:

开启配置文件中的magic_quotes_gpc 和 magic_quotes_runtime设置

执行sql语句时使用addslashes进行sql语句转换

Sql语句书写尽量不要省略双引号和单引号。

过滤掉sql语句中的一些关键词:update、insert、delete、select、 * 。

提高数据库表和字段的命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜到的。

Php配置文件中设置register_globals为off,关闭全局变量注册

控制错误信息,不要在浏览器上输出错误信息,将错误信息写到日志文件中。

个人简介

我是一名测试兼开发工程师,目前25K,目前做的是无人驾驶,欢迎和大家一起交流测试技术,一起高薪就业,我们还有一起打妖怪的群哦,还有面试题小程序哦

面试题库test
关注
专栏目录
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
SQL注入漏洞产生原因 ? 如何防止?
Huangwenting1990的博客
01-09 2003
SQL注入产生原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。   防止SQL注入: 1、开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 2、执行sql语句时使用addslashes进行sql语句转换 3、Sql语句书写尽量不要省略小引号和单引号 4
sql注入产生原因以及如何防止
living_ren的博客
03-03 1万+
1.sql注入产生原因: 程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行; 2.防止过滤: 1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤; 2).在PHP配置文...
SQL注入原因及其解决方法
zhanchulan的博客
08-19 950
SQL 注入产生原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
SQL 注入式攻击及应对方案
灰寨小学的python---小陈
07-03 427
SQL 是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系型数据库系统··SQL注入式攻击,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,达到欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入等待内容直接用来构造动态SQL命令,或作为存储过程的输入参数,这类表单特别容易沙鸥到SQL注入式攻击总结:程序开发过程中不注意书写规范,对sql语句和关键字未进行...
软件测试面试题:如何对淘宝搜索框进行测试?
一亿并发的博客
08-26 1698
一, 功能测试 1. 输入关键字,查看: 返回结果是否准确,返回的文本长度需限制 1.1输入可查到结果的正常关键字、词、语句,检索到的内容、链接正确性; 1.2输入不可查到结果的关键字、词、语句; 1.3输入一些特殊的内容,如空、特殊符、标点符、极限值等,可引入等价类划分的方法等; 2. 结果显示:标题,卖家,销售量,单行/多行,是否有图片 3. 结果排序:价格 销量 评价 综合 4.返回结果庞大时,限制第一页的现实量,需支持翻页 5. 多选项搜索:关键字 品牌 产地 价格区间 是否天猫 是
软件测试面试题.zip
02-21
本压缩包“软件测试面试题.zip”包含了“Software-interview-master”目录,可能是一系列有关软件测试的面试问题和答案,旨在帮助应聘者准备面试。 以下是一些可能的软件测试面试知识点: 1. **测试类型**:面试中...
2021年软件测试面试题大全
热门推荐
hard_days的博客
11-30 20万+
简述测试流程: 1、阅读相关技术文档(如产品PRD、UI设计、产品流程图等)。 2、参加需求评审会议。 3、根据最终确定的需求文档编写测试计划。 4、编写测试用例(等价类划分法、边界值分析法等)。 5、用例评审(主要参与人员:开发、测试、产品、测试leader)。 6、开发提交代码至SVN或者GIT ,配管搭建测试环境。 7、执行测试用例,记录发现的问题。 8、验证bug与回归测试。 9、编写测试报告。 10、产品上线。 补充测试用例设计过程: 根据需求得出测试需求 设计测试方
2022年软件测试初级-中级面试题集合
06-24
5. **安全测试**:理解常见的安全漏洞,如SQL注入、XSS攻击、CSRF和权限绕过等,并学会如何通过测试发现这些问题。熟悉OWASP(开放网络应用安全项目)十大安全风险。 6. **网络知识**:了解TCP/IP协议栈,理解OSI七...
软件测试面试题(含答案)
公众号已改名为-程序员阿沐
03-01 10万+
软件测试面试题(含答案)
SQL注入是如何产生的,如何防止
wang2028的博客
09-16 1982
SQL注入是如何产生的,如何防止?   程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。产生sql注入。下面是防止方法:     a. 过滤掉一些常见的数据库操作关键字,或者通过系统函数来进行过滤。       b. 在PHP配置文件中将register_globals=off;设置为关闭状态      ...
Sql 注入是如何产生的,如何防止
qq_42992919的博客
07-12 346
程序开发过程中不注意规范书写 sql 语句和对特殊字符进行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。产生 Sql 注入。下面是防止办法: a. 过滤掉一些常见的数据库操作关键字,或者通过系统函数来进行过滤。 b. 在 PHP 配置文件中将 Register_globals=off;设置为关闭状态 c. SQL 语句书写的时...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 708
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
sql注入是如何产⽣生的,怎么防止
Python小虫虫的博客
07-12 400
所谓SQL注⼊入,就是通过把SQL命令插⼊入到Web表单提交或输⼊入域名或⻚页⾯面请求的查询字符串串,最终达到欺骗服务器器执⾏行行恶意的SQL命令。如何防范:检查⽤用户输入的合法性,过滤掉⼀一些常⻅见的数据库关键字:select、insert、update、delete、and、or等;避免提示出现⼀一些详细的错误消息,因为⿊黑客们可以利利⽤用这些消息。要使⽤用⼀一种标准的输⼊入确认机制来验证所有...
面试题6:什么是SQL注入?如何避免?
m0_49273322的博客
05-20 572
SQL注入: 就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样 如何避免 SQL 注入: • 使用预处理 PreparedStatement。 • 使用正则表达式过滤掉字符中的特殊字符。 • 第三种 使用Hibernate框架的SQL注入防范 ...
面试常见问题2:防止sql注入
最新发布
KX_JoyK的博客
05-17 119
1.参数化parameter,内置了处理SQL注入的能力,只要在条用查询时附加参数即可。2.使用正则表达式过滤传入的参数。5.url判断参数内容。
SQL注入漏洞产生原因是什么?怎么防止?XSS呢?
11-20 595
SQL注入产生原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。防止SQL注入: 1、开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 2、执行sql语句时使用addslashes进行sql语句转换 3、Sql语句书写尽量不要省略小引号和单引...
高薪程序员&面试题精讲系列93之SQL注入了解吗?如何防止SQL注入?Mybatis里#{}与${}有什么区别?
一一哥
04-27 478
一. 面试题及剖析 1. 今日面试题 SQL注入了解吗? 如何防止SQL注入? Mybatis里#{}与${}有什么区别? 2. 题目剖析 21世纪什么最重要?人才!还有呢?数据!人才的事,咱们今天不做讨论,咱们今天来讨论一下数据,尤其是关于数据的安全性。对一个企业来说,最关键的其实就是数据了,比如阿里的支付宝系统,如果他们数据库里的数据被人删了或改了,会发生什么严重的后果,简直不敢想象。我们作为后端人员,每天都要操作各种数据,所以自然就要肩负起保卫数据安全的责任。 在开发时,有很多的操作
面试题-如何防止SQL注入(个人总结)
weixin_44903465的博客
04-17 1565
什么是SQL注入 通过操作输入来修改SQL语句来非法获取数据库中的数据 解决思路:对用户输入的内容进行合法校验 方案一:可以使用PreparedStatement 方案二:使用正则表达式 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

面试题库test

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值