安全

SQL注入

所谓sql注入式攻击,就是攻击者把sql语句插入到表单的输入域或者页面请求中的字符串中,欺骗服务器执行恶意的sql命令。

举例:用户进行登录操作,输入一个username和password,进行查询

select * from users where username = ? and password = ?

攻击者则输出2个 ' ' or '1' = '1',则sql语句则变成:

select * from users where username=' ' or '1'='1'  and password = ' ' or '1'='1'

这样的话,sql也能正常执行,攻击者相当于登录成功。

简单的防范方法:1.用户名或者密码进行加密后再保存在数据表中。相当于对用户输入的数据进行"消毒"处理。
2.判断登录操作,查询结果是否只有一条。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Web安全之SQL注入攻击技巧与防范
    Web安全简史 在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Web...
    潘良虎阅读 3,942评论 3 72
  • Java Web 工程源代码安全审计实战,第 2 部分
    文章出处:https://www.ibm.com/developerworks/cn/java/j-lo-audi...
    _String_阅读 953评论 0 0
  • 11 Web安全测试漏洞场景
    HTTP.sys远程代码执行 测试类型:基础结构测试 威胁分类:操作系统命令 原因:未安装第三方产品的最新补丁或最...
    天天向上的小M阅读 3,948评论 0 0
  • 荒处
    从树林里出来,往北走两步,便会瞧见一堵小坡,坡前有一道台阶,分四段,每段十二三级,通往一处旧邨,布着八座七八层高的...
    东东和阿东阅读 205评论 0 0
  • 二老
    昨天的黑刺香味仿佛还留在身上,昨天的故事想起来可以说很久;今天又开始陪着爸妈闲逛。 二老如今真算是形影相伴的年纪了...
    宁黛阅读 263评论 1 2