問答專欄Q & A COLUMN
感謝邀請(qǐng),針對(duì)你得問題,我有以下回答,希望能解開你的困惑。
首先回答第一個(gè)問題:什么是SQL 注入?
一般來(lái)說(shuō),黑客通過把惡意的sql語(yǔ)句插入到網(wǎng)站的表單提交或者輸入域名請(qǐng)求的查詢語(yǔ)句,最終達(dá)到欺騙網(wǎng)站的服務(wù)器執(zhí)行惡意的sql語(yǔ)句,通過這些sql語(yǔ)句來(lái)獲取黑客他們自己想要的一些數(shù)據(jù)信息和用戶信息,也就是說(shuō)如果存在sql注入,那么就可以執(zhí)行sql語(yǔ)句的所有命令
那我延伸一個(gè)問題:sql注入形成的原因是什么呢?
數(shù)據(jù)庫(kù)的屬于與網(wǎng)站的代碼未嚴(yán)格分離,當(dāng)一個(gè)黑客提交的參數(shù)數(shù)據(jù)未做充分的檢查和防御的話,那么黑客的就會(huì)輸入惡意的sql命令,改變了原有的sql命令的語(yǔ)義,就會(huì)把黑客執(zhí)行的語(yǔ)句帶入到數(shù)據(jù)庫(kù)被執(zhí)行。
現(xiàn)在回答第二個(gè)問題:我們常見的注入方式有哪些?
我們常見的提交方式就是GET和POST
首先是GET,get提交方式,比如說(shuō)你要查詢一個(gè)數(shù)據(jù),那么查詢的代碼就會(huì)出現(xiàn)在鏈接當(dāng)中,可以看見我們id=1,1就是我們搜索的內(nèi)容,出現(xiàn)了鏈接當(dāng)中,這種就是get。
第二個(gè)是Post提交方式是看不見的,需要我們利用工具去看見,我們要用到hackbar這款瀏覽器插件
可以就可以這樣去提交,在這里我搜索了2,那么顯示的數(shù)據(jù)也就不同,這個(gè)就是數(shù)據(jù)庫(kù)的查詢功能,那么的話,get提交比post的提交更具有危害性。
第二個(gè)是Post提交方式是看不見的,需要我們利用工具去看見,我們要用到hackbar這款瀏覽器插件。
以上便是我的回答,希望對(duì)你有幫助。
評(píng)論0
加載中...0
回答0
回答1
回答0
回答0
回答0
回答0
回答4
回答10
回答0
回答
