注射位置包括表单提交,主要是POST请求,还有GET请求 。URL参数提交,主要是GET请求参数 。Cookie参数的提交 。HTTP请求标头中的一些可修改值,例如Referer,User_Agent等 。一些边缘输入点,例如.mp3文件的某些文件信息 。sql注入的危害SQL注入的危害不仅体现在数据库级别,而且还可能危及托管数据库的操作系统 。如果将SQL注入用于挂马,还可能用来传播恶意软件等,这些危害包括但不局限于:
数据库信息泄漏:泄漏用户存储在数据库中的私人信息 。作为数据存储中心,各种类型的私人信息通常存储在数据库中 。SQL注入攻击能导致这些隐私信息透明于攻击者 。篡改网页:通过操作数据库来篡改特定网页 。网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击 。数据库被恶意操作:数据库服务器受到攻击,数据库系统管理员帐户被篡改 。服务器受远程控制,并安装了后门 。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统 。破坏硬盘数据并使整个系统瘫痪 。如何解决SQL注入解决SQL注入问题的关键是严格检查可能来自用户输入的所有数据,并使用最小特权原则进行数据库配置 。常用的方案有:
所有查询语句都使用数据库提供的参数化查询接口,并且参数化语句使用参数,而不是将用户输入变量嵌入SQL语句中 。几乎所有当前的数据库系统都提供参数化的SQL语句执行接口 。使用此接口可以有效地防止SQL注入攻击 。String sql=”SELECT * FROM user WHERE username=? AND password=?”; //使用?代替参数,预先设置好sql格式,就算在输入sql关键字也不会被sql识别PreparedStatement pstat=conn.prepareStatement(sql);pstat.setString(1,username); //设置问号的值pstat.setString(2,password);pstat.executeQuery();对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换 。确认每个数据的类型 。例如,数字数据必须是数字,并且数据库中的存储字段必须与int类型相对应 。应严格规定数据长度,以防在一定程度上正确执行较长的SQL注入语句 。网站每个数据层的编码是统一的 。建议使用UTF-8编码 。上下层编码不一致可能会导致某些过滤模型被绕过 。严格限制网站用户数据库的操作权限,并向该用户提供只能满足其工作要求的权限,从而最大程度地减少了注入攻击对数据库的危害 。阻止网站显示SQL错误消息,例如类型错误,字段不匹配等,以防止攻击者使用这些错误消息进行判断 。在网站发布之前,建议使用一些专业的SQL注入检测工具来及时检测和修补这些SQL注入漏洞 。10.NULL和空串判断?MySQL 中的空值包含 NULL 和空字符串 。当匹配 NULL 值条件时,使用 IS NULL 和 IS NOT NULL,当匹配空字符串时,使用“=”“<>”“!=” 。
本文使用一张名为 t_goods 的数据表,该表用来记录商品信息,它的记录如下:
+----+---------------+-----------------+-------------+---------+---------+---------------------+| id | t_category_id | t_category| t_name| t_price | t_stock | t_upper_time|+----+---------------+-----------------+-------------+---------+---------+---------------------+| 1|1| 女装/女士精品| T恤| 39.90| 1000|2020-11-1000:00:00 || 2|1| 女装/女士精品| 连衣裙| 79.90| 2500|2020-11-1000:00:00 || 3|1| 女装/女士精品| 卫衣| 79.90| 1500|2020-11-1000:00:00 || 4|1| 女装/女士精品| 牛仔裤| 89.90| 3500|2020-11-1000:00:00 || 5|1| 女装/女士精品| 百褶裙| 29.90|500|2020-11-1000:00:00 || 6|1| 女装/女士精品| 呢绒外套| 399.90| 1200|2020-11-1000:00:00 || 7|2| 户外运动| 自行车| 399.90| 1000|2020-11-1000:00:00 || 8|2| 户外运动| 山地自行车 |1399.90| 2500|2020-11-1000:00:00 || 9|2| 户外运动| 登山杖| 59.90| 1500|2020-11-1000:00:00 ||10|2| 户外运动| 骑行装备| 399.90| 3500|2020-11-1000:00:00 ||11|2| 户外运动| 户外运动外套| 799.90|500|2020-11-1000:00:00 ||12|2| 户外运动| 滑板| 499.90| 1200|2020-11-1000:00:00 |+----+---------------+-----------------+-------------+---------+---------+---------------------+向 t_goods 数据表中插入两条名称为空字符串,上架时间为 NULL 的数据记录 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- 武汉长江大桥汉阳桥头电梯开了吗2021
- 成都有山姆超市吗
- 2021拼搏励志语录(关于2021拼搏励志语录
- 京东2021双十一活动几号开始几号结束
- 2021肯德基万圣节海绵宝宝玩具有几款
- 2021年春分是几月几日 春分是立春吗
- 2021年全国取消禁摩令 摩托车京a牌照多少钱
- 健身教练证怎么考 乐刻健身教练培训多少钱
- 2021单人玩职业推荐 暗黑3攻略心得
- 考试成绩猜一个数学名词 成绩是多少打一数字