SQL注入及防范详细教程

  sql注入危害说大不大,说小不小。如果漏洞落到好人手里(比如我),玩玩之后可能会叫你修复,如果落到坏人手里可能会删了你的表或者获取高级权限。因为我曾经也受过攻击,所以这次写篇文章让大家好好注意一下!sql注入超级简单,只要你学过sql就能实现!!
    

例子

用户登录

原始:

	
  1. select * from user where name='pingping' and password='pingping';

注入:

	
  1. select * from user where name='pingping' or 1=1 #' and password='';

说明

    在没有过滤的情况下将name字段注入了pingping' or 1=1 #' and  password='',如果是admin用户呢??

文章查询

原始:

	
  1. select * from log where id =1;

 注入:

	
  1. select * from log where id = (
  2. delete from log
  3. ) ;

说明

    如果您用的开源系统,或者您的表名被弄到了,并且没有防范时!在显示文章的时候可能会遭受这种攻击,你的数据全没了
        
    暂时只想到这两个例子,concat同样能遭受这种攻击,具体方法自行体会!

解决办法

    查询内容全都当做字符串,然后进行转义!就这么简单
作者:梦主博客

一个不想奋斗的青年.在线等富婆  -  梦主

返回列表
上一篇:
下一篇:

发表评论

快捷回复: