面试准备的Sql注入原理、类型、防范、危害(1)
在这里的话,我想着总结一下自己学sql时主要学的内容,当时想着尽量以问题形式来总结的,比如:hr会怎样问;然后我再以求职者的口吻回答问题,
总结肯定不够完善,之后遇到新的相关知识肯定还会补充,发出来也就是希望大家帮我看看还有哪些需要学习呢?
1.SQL注入有哪些危害?
a.首先可能会有未授权的访问数据库,盗用用户个人信息,造成信息泄露;//未授权信息泄露
b.然后就是对数据库进行增删改查,比如私自添加或者删除管理员账号这些 //权限更改 增删改查
c.第三就是对网页进行篡改、发布违法信息,比如一个网站具有写入权限的话,就可以写入木马 //网页篡改、网站挂马
d.还有可能经过sql注入被提权后,服务器的最高权限被拿下,就有可能被攻击者远程控制服务器、安装后门 //提权、留后门
2.什么是sql注入?或者问Sql注入的原理是什么呢?
Sql注入就是在和数据库有交互的地方,对输入的参数没有进行严格的过滤导致输入的恶意查询语句被执行;//数据库交互
3.sql注入的分类有哪些?
它的分类有很多种,
(1)首先从注入方式上看有联合查询注入、报错型注入、布尔型注入、延时注入、堆叠注入这些
(2)从数据类型上有:字符型、数字型
(3)从注入位置上又可以分为GET型、POST型、HTTP头部、cookie数据
(4)从数据库类型上也可以分:mssql 、mysql、 oracle、 access
当然也可以直接把他们分成三大类包括:回显、盲注、带外
回显包括直接回显、报错,
盲注包括布尔、延时,
带外的话就是mysql的DnsLog注入、MsSQL的跨库查询、Oracle的带外函数
4.怎样防范sql注入?
a.可以对输入的数据长度进行限制
b.也可以对关键字过滤,比如:select、insert、order
c.或者对参数携带的特殊字符进行转义和过滤
d.当然最好的还是预编译:就是sql语句被数据库编译和优化后运行的语句以参数的形式进行查询,即使有敏感字符传递也会被参数化
面试准备的Sql注入原理、类型、防范、危害(1)相关推荐
- 安全架构-SQL注入原理及防范
安全架构系列文章 SQL注入原理及防范 文章目录 安全架构系列文章 前言 一.sql注入是什么? 二.防范方法 1.Java处理 2 .NET处理 总结 前言 一.sql注入是什么? SQL注入是通过 ...
- SQL注入原理及防范
SQL注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户 ...
- sql注入原理及防范方式
前言 sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了.最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点, ...
- SQL 注入攻击的防范
一.SQL 注入简介 SQL 注入是比较常见的网络攻击方式之一,它不是利用操作系统的 BUG 来实现攻击,而是针对程序员编程时的疏忽,通过 SQL 语句,实现无帐号登录,甚至篡改数据库. 二.SQL ...
- mysql 绕过select报错_Web安全之SQL注入(原理,绕过,防御)
首先了解下Mysql表结构 mysql内置的information_schema数据库中有三个表非常重要 1 schemata:表里包含所有数据库的名字 2 tables:表里包含所有数据库的所有的表 ...
- SQL注入原理-时间盲注
小伙伴们大家好!本期为大家带来的是SQL注入原理之时间盲注. 目录 使用环境 常见函数与语句 sleep()函数 if语句 substr()函数 ord()函数 length()函数 实战演示 1.判 ...
- SQL注入看这一篇可能还不够——SQL注入各类型总结+靶场实战
SQL注入简介 SQL注入原理 SQL注入是通过将恶意的sql语句插入到应用代码中,由于过滤不严导致的在后台执行恶意sql语句而产生的漏洞. SQL注入类型 注入参数:数字型注入.字符型注入.搜索型注 ...
- SQL注入原理及其简单演示
一 . SQL注入: SQL injection:通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器恶意执行的SQL命令.具体来说就是利用现有的程序将Sql命令 ...
- SQL注入原理-字符型注入
小伙伴们大家好!本期为大家带来的是SQL注入原理-字符型注入的讲解! 目录 SQL注入原理 字符型注入 一.单引号字符注入 1.测试是否存在注入点 2.判断字段个数 3.找出可以回显的字段 4.查看当 ...
最新文章
- Calibrating delay loop... 问题以及解决方法(RealARM开发板)
- First Impression on BBED: recover deleted rows
- linux 常用 启动命令 汇总
- 阿里巴巴代码平台架构的演进之路
- JAVA8两个流变量相等_Java8:Stream在同一个流中映射两个属性
- 免费有理—五款免费的网络管理工具介绍
- m 940 /vbulletin/_爱在当下 MM 伴你纵享别样万圣之夜
- Tensorflow模型变量保存
- AIDE手机编程初级教程(零基础向) 3.2.2 设计欢迎页(补充)
- 2021-2027全球与中国陶瓷基板市场现状及未来发展趋势
- 项目管理要分解目标,明确每个人的任务
- 基于asp.net的排球赛事网站设计与实现
- 浙江大学的计算机考研难度,浙江大学部分专业考研难度分析
- 72名图灵奖获得者的成就
- 三大开源社区是哪几个_进入开源社区的4个技巧
- O2OA开源办公平台:搭建自定义工程及开发
- 1014 福尔摩斯的约会 (20 分)
- 工控系统主动安全防御体系的构建
- HC32F005C6PA 硬件I2C采集ADS1115,亲测可用
- 如何成为一名高级开发