文章目录

  • 一、SQL注入漏洞[OWASP TOP 1]
  • 二、SQL注入的位置
  • 三、常见的防范方法
  • 四、sql注入的危害

一、SQL注入漏洞[OWASP TOP 1]

所谓SQL注入,就是通过把SQL命令插入到Web表单中**[此处涉及到sql注入的点]**提交最终达到欺骗服务器执行恶意的SQL命令。
具体来说,它是利用现有的web应用程序,将(恶意的)SQL命令注入到后台数据库引擎,它可以通过在Web表单中输入(恶意)
SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.

二、SQL注入的位置

通常情况下,SQL注入的位置包括:
(1)表单提交,主要是POST请求,也包括GET请求;
(2)URL参数提交,主要为GET请求参数;
(3)Cookie参数提交;
(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;
(5)一些边缘的输入点,比如.mp3文件的一些文件信息等。

三、常见的防范方法

(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

四、sql注入的危害

(1)数据库内的信息全部被外界窃取
(2)数据内容被篡改
(3)登录认证被绕过
(4)其他,例如服务器上的文件被读取或修改/服务器上的程序被执行

SQL注入漏洞[OWASP TOP 1]相关推荐

  1. 登录页面的SQL注入漏洞

    一.环境准备 1.在Linux准备一套Xampp或者Phpstudy:模拟攻防 2.在vscode安装Rremote Development插件,进行远程调试 新添加主机 ssh root@192.1 ...

  2. SQL注入漏洞解决方法

    本文只指针编码层次的SQL注入漏洞解决方法,例子代码是以java为主. 1,参数化的预编译查询语句 不安全例子 String query = "SELECT account_balance ...

  3. SQL注入漏洞全接触--高级篇

    2019独角兽企业重金招聘Python工程师标准>>> 看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了.但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入 ...

  4. Web安全之SQL注入漏洞学习(一)

    Web程序三层架构 三层架构主要是指将业务应用规划为的表示层 UI.数据访问层 DAL 以及业务逻辑层 BLL,其分层的核心任务是"高内聚低耦合"的实现.在软件体系架构设计中,分层 ...

  5. web漏洞-SQL注入漏洞、目录遍历漏洞、文件下载漏洞

    这里用到的是Pikachu漏洞练习平台 一.SQL注入漏洞-数字型注入 SQL注入漏洞简介 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库 ...

  6. 从小白到web渗透工程师——零基础指南(2)sql注入漏洞

    hello,各位小伙伴,在看过上一篇文章之后,想必大家伙对于web渗透工程师有了一定的了解,那么,作为一名渗透工程师,挖洞,就是我们的日常工作中必不可少的一部分了.在安全圈中,如果你挖的洞危险系数够高 ...

  7. sql注入漏洞和sqlmap的使用

    目录 什么是sql漏洞: sql语言: 数据库和网页用户请求的原理: sql注入原理: sql注入检测: sql注入检测工具: 实例演示: 漏洞防御 什么是sql漏洞: 这边采用了皮卡丘的sql漏洞的 ...

  8. SQL注入漏洞攻防必杀技

    SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级"黑客"喜欢采用的攻击方式,近来网上 对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻 ...

  9. [转]SQL注入漏洞攻防必杀技

    SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级"黑客"喜欢采用的攻击方式,近来网上 对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻 ...

最新文章

  1. 无法执行 FunctionImport“entitys.xx”,因为未将它映射到存储函数。EF
  2. MySQL高级 - 日志 - 二进制日志(statement)
  3. elementui表格-改变某一列的样式
  4. NGINX内容缓存配置
  5. C语言课后习题(33)
  6. linux 下挂载光驱
  7. SQUEEZENET: ALEXNET-LEVEL ACCURACY WITH 50X FEWER PARAMETERS AND 0.5MB MODEL SIZE
  8. 浏览器的工作原理:新式网络浏览器幕后揭秘(转)
  9. 2019华为杯研究生数学建模竞赛总结(E题 国一)
  10. opencv查看版本路径
  11. 【离散数学】求闭包的例题
  12. PS用套索工具抠图,并修改背景颜色
  13. UMTS基础知识汇总
  14. 80004005错误代码_关于访问共享时出现80004005错误
  15. 2019最新天善智能python3数据分析与挖掘项目实战(完整)
  16. 合肥工业大学机器人技术实验五十六题
  17. 可视化拖拽组件库一些技术要点原理分析(三)
  18. 编译ORB-SLAM2遇到的问题及解决方法
  19. python培训班价格-少儿编程培训机构哪家好,儿童编程价格多少钱?家长知多少...
  20. mybatis从入门到精通(刘增辉著)-读书笔记第四章

热门文章

  1. 猜数字小游戏(Python)
  2. Python学习笔记(小甲鱼版)
  3. 【应用随机过程】04. 马尔可夫链的平稳分布
  4. RTOS与linux区别
  5. python爬取B站网页排行榜数据(进阶版)
  6. a标签和阻止事件冒泡
  7. 基于django的 md5加密
  8. JAVA——从基础学起(一)Java语言基础
  9. 为远程群晖NAS配置固定的公网URL地址 1/2
  10. AGV移动机器人PID运动控制