看了网上的很多答案,说什么的都有,希望数据库大佬能解释一下真正的原理,万分感谢!!!
1条回答 默认 最新
- Go 旅城通票 2021-05-15 11:12关注
主要是针对非参数化,而且直接拼接sql后执行才会有sql注入问题。
一个简单的示例,读取新闻的,需要id参数,值为数字,拼接sql如下
string id = Request.QueryString["id"]; string sql = "select * from news where id=" + id;
正常情况下id输入数字,那么sql就是正常的。但是id参数是客户端提交的,内容不可控,可以人工修改,如id=1;delete from news;
这样如果为判断id的值,直接凭借,那么sql语句就会变为
select * from news where id=1;delete from news;
这样执行sql的话就会将news表内容清空了。
结论就是不要相信客户端提交的数据,即使客户端有用js验证过数据有效性,但是服务器端一定要再次验证过,因为数据是可以直接提交到接口,并不一定走你的js验证。
不过sql注入这种东东随便服务器安装个防护软件(如安全狗)就能拦截了,现在很难注入了
所以对应为数字的参数一定要判断值是否为数字,不是就输出错误提示参数错误什么的。
字符型参数的要替换掉单引号。
解决 无用评论 打赏 举报
悬赏问题
- ¥15 关于#单片机#的问题:以ATMEGA128或相近型号单片机为控制器设计直流电机调速的闭环控制系统(相关搜索:设计报告|软件设计|流程图)
- ¥15 打开软件提示错误:failed to get wglChoosePixelFormatARB
- ¥30 电脑误删了手机的照片怎么恢复?
- ¥15 (标签-python|关键词-char)
- ¥15 python+selenium,在新增时弹出了一个输入框
- ¥15 苹果验机结果的api接口哪里有??单次调用1毛钱及以下。
- ¥20 学生成绩管理系统设计
- ¥15 来一个cc穿盾脚本开发者
- ¥15 CST2023安装报错
- ¥15 使用diffusionbert生成文字 结果是PAD和UNK怎么办