sql注入的原理是什么?怎么样防御?
日期:2020年10月20日 15:52
访问:562
次
作者:必火安全学院
第十一期开班时间:2021年9月14日
抢先领取全套VIP视频教程
+10天免费学习名额
已有8166人参加>> 稍后老师联系您发送相关视频课程 <<
报名CTF挑战赛, 预约名师指导
已有 2366 人参加
网络安全渗透测试群(必火安全学院):
护网行动日薪千元(初级中级高级)群:
护网行动日薪千元(初级中级高级)群:
sql注入的原理是什么?怎么样防御?
网络安全学习简单半年学成,在北上广深薪资最低在10K左右,可自行招聘软件搜索网络安全工程师、渗透测试工程师。工作容易,简单不累。
联系在线客服获取最新网络安全工程师全套视频教程。
网络安全学习简单半年学成,在北上广深薪资最低在10K左右,可自行招聘软件搜索网络安全工程师、渗透测试工程师。工作容易,简单不累。
联系在线客服获取最新网络安全工程师全套视频教程。
必火安全学院网络安全全栈工程师培训,从网络路由、系统安全、脚本安全、渗透测试、PHP、Python、代码审计、工具编写、内网安全、应急响应、等保测评等等。
全天上课,课程是同行的四倍以上,包教会,包就业。
全天上课,课程是同行的四倍以上,包教会,包就业。
免费入学实地线下零基础就业班,⑦期班(2020年.10月.30号),包就业!必火为就业而生,为真技术而生!
sql注入是最常见的一种入侵方式,在早年间也是最有效的一种入侵方式。只是随着网络的不断发展,越来越多的网站对于网络安全更加重视,所以sql注入也就更加难了。
注入的基本原理
SQL作为微软推出的一款数据软件,影响力非常大,不但SQL是主流的数据库,而且后续的网站主流数据库MYSQL也同样兼容SQL数据库的命令。
而注入最基本的一个条件就是连接到数据库,而网站的逻辑层代码一般是看不见的,想要连接到数据库的唯一办法就是在网站像数据库传输值的时候。比如一般网站的输入登录帐号和密码,这个时候帐号和密码就会返回数据库进行对比,然后再将结果返回到页面。
如果这个时候在帐号和密码的输入框里面输入一段SQL代码,那么这个代码就会改变最终的查询对比命令,而注入也是通过这个方法对网站数据库里面的值进行修改或者查询。这就是最简单的注入。
怎么样进行防御、
知道了注入的原理之后想要防御就比较简单了,首先如果网站有输入框的话,那么就要对输入框里面提交的值进行最基本的判断,比如一些敏感的标点符号,比如双引号和单引号。
当然网站传递值的办法有很多,除了表单这种最简单的方式之外,域名上面也可以传输值。所以不论是什么样的传输值的方法,最终在进入数据库之前,一定要在逻辑层代码上进行一个防御的判断,只有这样才可以避免sql注入。
