互联网上有数以千计的攻击类型。唯一一个威胁最大的是SQL注入!由于它的巨大危害,在为客户部署业务系统之前,每个操作和维护工程师都必须做好防御。
问题即将来临。我们客户的大部分技术研究都不是很“深入”。我们经常因为与客户的技术交流而变得疯狂!作为Yunwei Xia,我们如何向非技术学生解释SQL注入?
SQL是结构化查询语言的缩写,结构化查询语言是一种数据库查询和编程语言,用于访问数据以及查询,更新和管理关系数据库系统。简单来说,它是工程师与数据库进行通信和通信的语言。
SQL注入是在Web表单中插入SQL命令以提交或输入域名或页面请求的查询字符串,最后到达欺骗服务器以执行恶意SQL命令。
最常见的是:我们经常看到一些免费或低价的会员帐户和主要视频网站的密码。这些帐户和密码是如何产生的?其中大部分都是通过WEB表单提交的。
SQL注入攻击了!
白话解释SQL注入,DBA大牛腔指南!
如何实现SQL注入的过程?
我们来看一个图像〜的例子
有一天,你代表老板去银行办理业务。你的老板给了你一个信封,里面有收银员的指示。
信的内容:
在这张纸上写下账户A的余额。
签名:老板
在途中,当你去洗手间时,将信封放入水槽几分钟。在此期间,小偷打开信封并添加了一些内容:“同时从账户A转账到另一个账户500元。”
现在这封信是:
在这张纸上写下账户A的余额。同时,从账户A转账到另一个账户500元。
签名:老板
出纳员检查您的身份并确认您是相关帐户中的授权人员,并遵循信中的说明。
结果,Boss被“偷”了500元!
在这个过程中:
你的老板是合法的程序代码;
您是将SQL代码传递给数据库的程序代码和数据库驱动程序;
字母的内容是传递给数据库的SQL代码;
小偷是攻击者,通常被称为“黑客”;收银员是数据库;
标识通常是数据库的登录名和密码。
白话解释SQL注入,DBA大牛腔指南!
目前,SQL注入漏洞已成为Internet上最常见且受到广泛影响的漏洞。我们怎样才能避免这些问题?
1.使用预编译语句集
当收银员处理信件的内容时,它只处理帐户和金额,并且不处理转移操作。
2.检查数据类型和格式
当收银员处理信件的内容时,他将检查窃贼内容的类型和格式是否符合规定。
3.过滤特殊字符
当收银员处理信件“从账户123456转账到另一个654321账户500元”的内容时,翻译出现问题,即报告错误。