zoukankan      html  css  js  c++  java
  • sql注入

     1.所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据 库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1]  比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。

    2. 就是指的是,在执行时,拼装sql,用户间接或直接 参与了sql语句的拼装,并且用户填写的不放呢影响sql本身的逻辑。

    就比如用户在输完用户名及密码时,给一个请求发送到后台服务器上,交给写的一个类来处理这个请求,用你类中的代码来处理请求中的用户名和密码,然后再去数据库中去验证是否正确。

    //sql语句
    SELECT * FROM t_user WHERE NAME = "tom" AND PASSWORK = "1243 ";
    //java拼装代码
    String sql = " SELECT* FROM t_user
    WHERE NAME = '"+name+"'
    AND PASSWORD = '"+password+"';"

    将sql语句写成
    SELECT * FROM t_user WHERE NAME = "xxx" OR 1=1 “ AND PASSWORK = "1243 ";

    解决方法:
    不让用户参与拼装即可。

  • 相关阅读:
    Jquery 跨域请求JSON数据问题
    js定时器实现图片轮播
    Redis数据一致性
    Redis缓存击穿、缓存穿透、缓存雪崩
    数据库连接池druid连接mysql数据库‘链路断开’问题
    Mysql启动错误: Can’t create test file xxx lower-test
    DB2-表空间
    DB2-Schema
    DB2-数据库
    DB2-实例
  • 原文地址:https://www.cnblogs.com/sjxbg/p/5819355.html
Copyright © 2011-2022 走看看