在这里的话,我想着总结一下自己学sql时主要学的内容,当时想着尽量以问题形式来总结的,比如:hr会怎样问;然后我再以求职者的口吻回答问题,
总结肯定不够完善,之后遇到新的相关知识肯定还会补充,发出来也就是希望大家帮我看看还有哪些需要学习呢?
1.SQL注入有哪些危害?
a.首先可能会有未授权的访问数据库,盗用用户个人信息,造成信息泄露;//未授权信息泄露
b.然后就是对数据库进行增删改查,比如私自添加或者删除管理员账号这些 //权限更改 增删改查
c.第三就是对网页进行篡改、发布违法信息,比如一个网站具有写入权限的话,就可以写入木马 //网页篡改、网站挂马
d.还有可能经过sql注入被提权后,服务器的最高权限被拿下,就有可能被攻击者远程控制服务器、安装后门 //提权、留后门

2.什么是sql注入?或者问Sql注入的原理是什么呢?
Sql注入就是在和数据库有交互的地方,对输入的参数没有进行严格的过滤导致输入的恶意查询语句被执行;//数据库交互

3.sql注入的分类有哪些?
它的分类有很多种,
(1)首先从注入方式上看有联合查询注入、报错型注入、布尔型注入、延时注入、堆叠注入这些
(2)从数据类型上有:字符型、数字型
(3)从注入位置上又可以分为GET型、POST型、HTTP头部、cookie数据
(4)从数据库类型上也可以分:mssql 、mysql、 oracle、 access
当然也可以直接把他们分成三大类包括:回显、盲注、带外
回显包括直接回显、报错,
盲注包括布尔、延时,
带外的话就是mysql的DnsLog注入、MsSQL的跨库查询、Oracle的带外函数

4.怎样防范sql注入?
a.可以对输入的数据长度进行限制
b.也可以对关键字过滤,比如:select、insert、order
c.或者对参数携带的特殊字符进行转义和过滤
d.当然最好的还是预编译:就是sql语句被数据库编译和优化后运行的语句以参数的形式进行查询,即使有敏感字符传递也会被参数化

面试准备的Sql注入原理、类型、防范、危害(1)相关推荐

  1. 安全架构-SQL注入原理及防范

    安全架构系列文章 SQL注入原理及防范 文章目录 安全架构系列文章 前言 一.sql注入是什么? 二.防范方法 1.Java处理 2 .NET处理 总结 前言 一.sql注入是什么? SQL注入是通过 ...

  2. SQL注入原理及防范

    SQL注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户 ...

  3. sql注入原理及防范方式

    前言 sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了.最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点, ...

  4. SQL 注入攻击的防范

    一.SQL 注入简介 SQL 注入是比较常见的网络攻击方式之一,它不是利用操作系统的 BUG 来实现攻击,而是针对程序员编程时的疏忽,通过 SQL 语句,实现无帐号登录,甚至篡改数据库. 二.SQL ...

  5. mysql 绕过select报错_Web安全之SQL注入(原理,绕过,防御)

    首先了解下Mysql表结构 mysql内置的information_schema数据库中有三个表非常重要 1 schemata:表里包含所有数据库的名字 2 tables:表里包含所有数据库的所有的表 ...

  6. SQL注入原理-时间盲注

    小伙伴们大家好!本期为大家带来的是SQL注入原理之时间盲注. 目录 使用环境 常见函数与语句 sleep()函数 if语句 substr()函数 ord()函数 length()函数 实战演示 1.判 ...

  7. SQL注入看这一篇可能还不够——SQL注入各类型总结+靶场实战

    SQL注入简介 SQL注入原理 SQL注入是通过将恶意的sql语句插入到应用代码中,由于过滤不严导致的在后台执行恶意sql语句而产生的漏洞. SQL注入类型 注入参数:数字型注入.字符型注入.搜索型注 ...

  8. SQL注入原理及其简单演示

    一 .  SQL注入: SQL injection:通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器恶意执行的SQL命令.具体来说就是利用现有的程序将Sql命令 ...

  9. SQL注入原理-字符型注入

    小伙伴们大家好!本期为大家带来的是SQL注入原理-字符型注入的讲解! 目录 SQL注入原理 字符型注入 一.单引号字符注入 1.测试是否存在注入点 2.判断字段个数 3.找出可以回显的字段 4.查看当 ...

最新文章

  1. Calibrating delay loop... 问题以及解决方法(RealARM开发板)
  2. First Impression on BBED: recover deleted rows
  3. linux 常用 启动命令 汇总
  4. 阿里巴巴代码平台架构的演进之路
  5. JAVA8两个流变量相等_Java8:Stream在同一个流中映射两个属性
  6. 免费有理—五款免费的网络管理工具介绍
  7. m 940 /vbulletin/_爱在当下 MM 伴你纵享别样万圣之夜
  8. Tensorflow模型变量保存
  9. AIDE手机编程初级教程(零基础向) 3.2.2 设计欢迎页(补充)
  10. 2021-2027全球与中国陶瓷基板市场现状及未来发展趋势
  11. 项目管理要分解目标,明确每个人的任务
  12. 基于asp.net的排球赛事网站设计与实现
  13. 浙江大学的计算机考研难度,浙江大学部分专业考研难度分析
  14. 72名图灵奖获得者的成就
  15. 三大开源社区是哪几个_进入开源社区的4个技巧
  16. O2OA开源办公平台:搭建自定义工程及开发
  17. 1014 福尔摩斯的约会 (20 分)
  18. 工控系统主动安全防御体系的构建
  19. HC32F005C6PA 硬件I2C采集ADS1115,亲测可用
  20. 如何成为一名高级开发

热门文章

  1. 网页劫持广告问题解决
  2. 数据库系统三级模式之“外模式”
  3. 图形学基础 | 高级光照模型 Blinn-Phong
  4. linux中什么是umask
  5. 自然数平方和与立方和问题
  6. 圆周率for python
  7. 极品飞车14java_极品飞车14之热力追踪
  8. 解决System.Reflection.TargetInvocationException: 调用的目标发生了异常。
  9. MyBatis--事务
  10. self.xxx和_xxx