如何做好防護(hù)SQL注入漏洞【199cloud-艾娜】

1. SQL注入原理

漏洞形成原因：用戶輸入的數(shù)據(jù)被SQL解釋器執(zhí)行。

在韶關(guān)等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站設(shè)計制作、網(wǎng)站制作 網(wǎng)站設(shè)計制作按需網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計,成都營銷網(wǎng)站建設(shè),成都外貿(mào)網(wǎng)站制作,韶關(guān)網(wǎng)站建設(shè)費用合理。

2. 常見的SQL注入類型分類

數(shù)字型 & 字符型，不管注入類型如何，攻擊者的目的只有一點，那就是繞過程序限制，使用戶輸入的數(shù)據(jù)帶入數(shù)據(jù)庫執(zhí)行，利用數(shù)據(jù)庫的特殊性獲取更多的信息或者更大的權(quán)限。

舉個例子：
（1）在頁面URL后面輸入： user_id=1' and 1=1 order by 4 #；
（2）加載頁面，將url的參數(shù)傳入后臺，后臺執(zhí)行SQL語句為： SELECT first_name, last_name FROM users WHERE user_id = '1' and 1=1 order by 4 #'；
（3）根據(jù)SQL語法可知， #號將后續(xù)的引號注釋了。 order by是用來查詢列數(shù)的，當(dāng)字段數(shù)超過數(shù)據(jù)庫的字段數(shù)，數(shù)據(jù)庫就會返回錯誤信息，因此，可以利用 order by來猜測數(shù)據(jù)庫的字段數(shù)。因此，如果熟悉SQL語句，就可以進(jìn)一步寫入更多的語句，查詢數(shù)據(jù)庫，導(dǎo)致隱私數(shù)據(jù)泄漏。

常見利用數(shù)據(jù)庫注入目的：
（1）查詢數(shù)據(jù)
（2）讀寫文件
（3）執(zhí)行命令

---

【 防止SQL注入】

數(shù)據(jù)庫并沒有什么好的辦法直接過濾SQL注入。只負(fù)責(zé)執(zhí)行SQL語句，根據(jù)SQL語句來返回相關(guān)數(shù)據(jù)。
因此：防御SQL注入，還是得從代碼入手。
根據(jù)SQL注入的分類，防御主要分為兩種： 數(shù)據(jù)類型判斷和 特殊字符轉(zhuǎn)義。

網(wǎng)站名稱：如何做好防護(hù)SQL注入漏洞
URL標(biāo)題：http://www.chinadenli.net/article38/gogppp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站設(shè)計公司、網(wǎng)站維護(hù)、軟件開發(fā)、建站公司、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)