看了网上的很多答案,说什么的都有,希望数据库大佬能解释一下真正的原理,万分感谢!!!
1条回答 默认 最新
- 斯洛文尼亚旅游 2021-05-15 11:12关注
主要是针对非参数化,而且直接拼接sql后执行才会有sql注入问题。
一个简单的示例,读取新闻的,需要id参数,值为数字,拼接sql如下
string id = Request.QueryString["id"]; string sql = "select * from news where id=" + id;
正常情况下id输入数字,那么sql就是正常的。但是id参数是客户端提交的,内容不可控,可以人工修改,如id=1;delete from news;
这样如果为判断id的值,直接凭借,那么sql语句就会变为
select * from news where id=1;delete from news;
这样执行sql的话就会将news表内容清空了。
结论就是不要相信客户端提交的数据,即使客户端有用js验证过数据有效性,但是服务器端一定要再次验证过,因为数据是可以直接提交到接口,并不一定走你的js验证。
不过sql注入这种东东随便服务器安装个防护软件(如安全狗)就能拦截了,现在很难注入了
所以对应为数字的参数一定要判断值是否为数字,不是就输出错误提示参数错误什么的。
字符型参数的要替换掉单引号。
解决 无用评论 打赏 举报
悬赏问题
- ¥15 如何让子窗口鼠标滚动独立,不要传递消息给主窗口
- ¥15 如何能达到用ping0.cc检测成这样?如图
- ¥15 关于#DMA固件#的问题,请各位专家解答!
- ¥15 matlab生成的x1图不趋于稳定,之后的图像是稳定的水平线
- ¥15 请问华为OD岗位的内部职业发展通道都有哪些,以及各个级别晋升的要求
- ¥20 微信小程序 canvas 问题
- ¥15 系统 24h2 专业工作站版,浏览文件夹的图库,视频,图片之类的怎样删除?
- ¥15 怎么把512还原为520格式
- ¥15 MATLAB的动态模态分解出现错误,以CFX非定常模拟结果为快照
- ¥15 求高通平台Softsim调试经验