找回密码
 加入怎通
查看: 161|回复: 0

SQL注入原理及预防(sql注入产生的原因,如何防止查询错误)

[复制链接]
我来看看 发表于 2023-03-21 08:46:23 | 显示全部楼层 |阅读模式
! s: w: F3 m, g9 j; J9 m

原理指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作(web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句带进数据库中进行查询)。

& ~ ~& [; }. v& R

Sql注入漏洞的产生需要满足两个条件:①参数用户可控:前端传给后端的参数内容是用户可以控制的②参数代入数据库查询:传入的参数拼接到sql语句,且带入数据库查询 危害①数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。

' m5 v r% Z, N( X/ g" h T4 ]

②网页篡改:通过操作数据库对特定网页进行篡改③网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击④数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改 修复建议①过滤危险字符:例如,采用正则表达式匹配union、sleep、load_file等关键字,如果匹配到,则退出程序。

/ O, i9 l* ^2 h/ Z- l/ t, L9 N

②使用预编译语句:使用PDO预编译语句,需要注意,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库的增加、删除、修改、查询③特殊字符转义、使用严格的数据类型原文链接:https://blog.csdn.net/c_programj/article/details/117452836。

- Y5 l# n! r9 q1 t# R$ Q3 a/ `9 Q * k" \2 e! S% j) g + [/ t/ A+ Q; r6 U& Y3 } c T; f7 ~9 ^" u P* o9 D3 @* H
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-7 13:08 , Processed in 0.033732 second(s), 25 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表