溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

SQL注入如何做預(yù)防措施

發(fā)布時(shí)間:2021-01-22 11:55:50 來源:億速云 閱讀:385 作者:小新 欄目:MySQL數(shù)據(jù)庫

小編給大家分享一下SQL注入如何做預(yù)防措施,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

1 .什么是sql注入(Sql injection)?

Sql注入是一種將sql代碼添加到輸入?yún)?shù)中,傳遞到Sql服務(wù)器解析并執(zhí)行的一種攻擊手法

2. 怎么產(chǎn)生的?

Web開發(fā)人員無法保證所有的輸入都已經(jīng)過濾

攻擊者利用發(fā)送給Sql服務(wù)器的輸入數(shù)據(jù)構(gòu)造可執(zhí)行的Sql代碼

數(shù)據(jù)庫未做相應(yīng)的安全配置

3.如何尋找sql漏洞?

識(shí)別web應(yīng)用中所有輸入點(diǎn)

了解哪些類型的請求會(huì)觸發(fā)異常?(特殊字符”或')

檢測服務(wù)器響應(yīng)中的異常

4. 如何進(jìn)行SQL注入攻擊?

數(shù)字注入:

Select * from tablename where id=1 or 1=1;

字符串注入:

Mysql的注釋特性:

SQL注入如何做預(yù)防措施

#與--號(hào)后面的被注釋掉,無論密碼輸入的是什么,都能正確查詢。請點(diǎn)擊此處輸入圖片描述

5. 如何預(yù)防sql注入?

嚴(yán)格檢查輸入格式:is_numeric(var),tp5的validate驗(yàn)證,字符串的注入采用正則看是否在[A-Za-z]之間

轉(zhuǎn)義:addslashes(str)、

mysqli_escape_string()函數(shù)進(jìn)行轉(zhuǎn)義

6.MySQLi的預(yù)編譯機(jī)制

SQL注入如何做預(yù)防措施

參數(shù)化綁定

參數(shù)化綁定,防止 SQL 注入的又一道屏障。php MySQLi 和 PDO 均提供這樣的功能。比如 MySQLi 可以這樣去查詢:

SQL注入如何做預(yù)防措施

PDO 的更是方便,比如:

SQL注入如何做預(yù)防措施

以上是“SQL注入如何做預(yù)防措施”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI