为了账号安全,请及时绑定邮箱和手机立即绑定

web安全之SQL注入学习笔记

标签:
PHP MySQL

2018/07/06 23:41

慕课网web安全之SQL注入课程学习笔记

  1. 什么是SQL注入?
  2. 如何寻找SQL注入漏洞?
  3. 如何进行SQL注入攻击?
  4. 如何预防SQL注入?
一、如何理解SQL注入?
  1. SQL注入是一种将SQL代码添加到输入参数中
  2. 传递到SQL服务器解析并执行的一种攻击手法
二、SQL注入是怎么产生的?
  1. WEB开发人员无法保证所有的输入都已经过滤
  2. 攻击者利用发送给SQL服务器的输入数据构造可执行的SQL代码
  3. 数据库未做相应的安全配置
三、如何寻找SQL输入漏洞?

==借助逻辑推理==

1. 识别web应用中所有输入点

  1. GET数据
  2. POST数据
  3. HTTP头信息

2. 了解哪些类型的请求会触发异常

3. 检测服务器响应中的异常

四、如何进行SQL注入攻击?

1. 数字注入

  1. 使用 or 让 where语句永远为真:数字注入 id=-1 or 1=1

> SELECT * FROM table WHERE id = -1 OR 1=1

2. 字符串注入

使用#或者--空格

  1. mysql注释方式 #注释

> SELECT * FROM table WHERE name='name'#' AND password = '123456'

  1. mysql注释方式 --空格 注释

> SELECT * FROM table WHERE name='name'-- ' AND password = '123465'

五、如何预防SQL注入?
1 严格检查输入变量的类型和格式
  • 预先知道传入的参数类型,根据参数类型判断,可以防止某种类型的注入
  1. is_numeric(); 判断字符串数字
  2. 使用正则表达式判断字符串类型
2 过滤和转义特殊字符
  1. 对特定字符进行转义
使用php函数转义特殊字符:
addslashes($name);
使用mysql函数转义特殊字符:
mysqli_real_escape_string($db,$name);
3 利用MySQL的预编译机制
点击查看更多内容
2人点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
PHP开发工程师
手记
粉丝
5
获赞与收藏
130

关注作者,订阅最新文章

阅读免费教程

感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消