什麼是SQL注入
有些朋友剛剛接觸SQL編程,對SQL注入表示不太瞭解。現在在這裏介紹一下什麼是SQL注入和怎麼預防。
操作方法
(01)首先介紹什麼是SQL注入。SQL注入是指在編程中SQL語句中參數可以通過客户端傳遞到數據庫中執行,由於對傳遞內容過濾不嚴謹,導致SQL執行出現非預期結果。現在舉例説明SQL注入。
(02)我們現在要做一個用户登錄框。可以輸入用户名和密碼,如果用户名和密碼正確就可以成功登錄,否則登錄失敗。界面如下:
(03)在驗證用户名和密碼中可能會出現如下語句。
(04)語句中用户名和密碼會客户端傳入參數。如果正常輸入,那麼用户名和密碼正確,就會提示【真不錯,恭喜你又過了一關!】。
(05)問題出現了。此段代碼中對用户輸入沒有進行任何的過濾和字符轉換。那如果我們用户名和密碼都傳入 【' or '' = '】(不包含中括號,相信我,此用户名密碼絕對不是保存的正確用户名和密碼),會出現什麼樣的結果呢?
(06)結果就是一樣會提示恭喜又過了一關。為什麼會這樣呢?那麼現在我們來分析一下。在後台程序,我們用SQL 【select * from 2user where yhm='"& a &"' and mima='"& b &"'】 驗證用户名和密碼。其中a和b為用户填寫的用户名和密碼,不明白的可以參看第二張圖片整個後台驗證代碼。
(07)如果我們輸入的用户名和密碼都為【guosange】,那麼組合後SQL結果是【select * from 2user where yhm='guosange' and mima='guosange'】。但是如果我們用户名和密碼輸入為【' or '' = '】,那麼組合後SQL結果為【select * from 2user where yhm='' or '' = '' and mima='' or '' = ''】。這個SQL其中有【or '' = '' 】,這個判斷導致整條SQL語句的Where條件永遠為True,導致可以查出表【2user】的所有記錄。從而登錄成功。喜歡嘗試的朋友也可以試試在用户名輸入【' or '' --】,密碼隨意輸入也可以達到效果。
(08)這就是SQL注入。通過輸入一些特殊字符,改變了你SQL語句本來的目的,達到額外的效果。那麼我們應該怎麼預防呢?其實很簡單,只要我們禁止用户輸入一些特殊字符,或者後台對這些特殊字符進行轉換,或者SQL語句都寫為存儲過程,這樣就可以避免被SQL注入攻擊了
-
485轉以太網怎麼設置
門禁考勤系統作為控制人員出入,考核工作人員考勤情況的數字化管理系統得到了廣泛的應用,對於公司管理工作具有積極的意義。由於RS-485總線使用簡單,方便易用,相當部分的門禁考勤系統使用的數據傳輸線路採用RS-485總線作為其傳輸線路。對於處於同一棟辦公樓中的辦公...
-
如何刷京東單
京東商城下單方法,在京東商城刷單方法操作方法(01)首先打開京東商城客户端,在裏面找到自己想要購買的商品,然後點擊打開商品,選擇購買件數單擊“加入購物車”(02)現在提示已經成功加入購物車,點擊購物車就可以進行付款了,點擊“購物車”(03)選中你要結算的物品,在前面對話框...
-
Python中如何應用split
我們用python處理字符串的時候經常會需要分割字符串,這個時候我們會用到split。那麼你真的會用它嗎?下面小編來給大家分享一下split的使用以及注意事項操作方法(01)首先我們在python環境中先來建立一個字符串,如下圖所示(02)然後我們調用split方法,已冒號作為分隔符,如...
-
怎麼在qq空間製作騰訊認證圖標
在自己的空間添加騰訊認證圖標,圖標無法下載的找我拿QQ704396659操作方法(01)1.先下載【騰訊認證標識】:單擊右鍵,複製圖片就可以。。。(02)2.上載空間:點擊“設置”(圖中標註的地方),再選擇“修改資料”,再選擇“空間資料”(在左下方)。接下來,讓空間名稱的前面留一個空格,用Q...