當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

mySql 注入攻击

發(fā)布時間：2025/4/9 编程问答 34 豆豆

生活随笔收集整理的這篇文章主要介紹了 mySql 注入攻击小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

注入攻擊

　　1.原理:

　　　　　　a.只要是帶有參數(shù)的動態(tài)網(wǎng)頁且此網(wǎng)頁訪問了數(shù)據(jù)庫，那么就有可能存在SQL注入;

　　　　　　b.字符串拼接和沒有判斷用戶輸入是否合法------>導致用戶可以玩填字游戲----->SQL注入攻擊會導致的數(shù)據(jù)庫安全風險包括:刷庫、拖庫、撞庫。

　　2.簡單解決方法:

　　　　　　預防字符串拼接---->可以使用變量綁定避免注入攻擊.

　　　　　 ? 以查詢語句為例:

　　　　　　正確輸入名稱與密碼　　　

　　　　　　　　　　　　name = "hello"　　password = "wangergou"

　　　　　　　　　　　　"select price from houses where name = %s and paswd = %s"%(name,password)

　　　　　　非法輸入名稱與密碼

　　　　　　　　　　　　name = "'' a' or 1=1 or ('1'='1'?"　　password = "?'abc') or '1'='1'?"

　　　　　　　　　　　　"select price from houses where name = %s and paswd = %s"%(name,password)

　　　　　　　　　　　　"select price from houses where name =' a' or 1=1 or ('1'='1' and paswd = 'abc') or '1'='1'?

　　　　　　解決方式: ?"select price from houses where name = %s and paswd = %s",name,password　　　　----->Tornado 框架中使用的版本　

? ?

轉載于:https://www.cnblogs.com/weilsppython/p/6116637.html

《新程序員》：云原生和全面數(shù)字化實踐50位技術專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

以上是生活随笔為你收集整理的mySql 注入攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。