大家可能对于这个名词有一点点陌生,没事先让我们来看看百度百科:所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
大家想一下,假如我是一个没有注册过会员的人,按道理说我是不能够去上网的,但是我通过在登录名那里输入点东西后我就上去了,但是主机那里是不会显示的,除非是查看日志文件才能发现,这就会出问题。我们在编辑时应该限制几个特殊的字符,例如 “_”。或者应该注意一下这几点:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过
正则表达式,或限制长度;对单引号和
双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用
存储过程进行数据查询存取。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的
错误信息对原始错误信息进行包装。
另外还应该注意运算逻辑来骗取系统:
后台身份验证绕过漏洞,验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误,例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是user=request("user"),passwd=request("passwd");
sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''
那么我使用'or 'a'='a来做用户名密码的话,那么查询就变成了:select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'
这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是 假or真and假or真,先算and 再算or,最终结果为真,这样就可以进到后台了这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似:
sql="select * from admin where username='"&username&'&"passwd='"&passwd&'
如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。
主要还是大家自己注意点,不要给“不法分子”以可乘之机!
1441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
