{eval=Array;=+count(Array);}
可以說基本上死透了,現在除非那種笨蛋程序員誰還會用手動拼接SQL語句的方式呢?都是框架自動生成,而框架層面,基本上杜絕了SQL注入的可能性。
必須要承認一點,技術在不斷地發展。當年用C++語言動不動就忘了釋放指針,內存泄漏。于是有了后面Java等一大票帶GC的語言,你放心用,碰到忘了釋放的我幫你找出來釋放。現在也是一樣的,各種框架早就替你想好了SQL注入問題,它們把類庫做得越來越好用,甚至很多類庫已經是傻瓜式調用,目的就是為了讓程序員們用的爽,徹底根除SQ注入問題。
當然,社會工程學是永遠也逃避不開的問題。就算世界上所有類庫都解決了SQL注入問題,也還是避免不了有人用123456做密碼。所以搞滲透的也不要老是糾結于SQL注入這個層面,從更高處思考問題,才能更好的解決問題。
sql注入基本已經不可能再實現攻擊了,除了小白寫的代碼。現在大家都對SQL注入這個東東有了深入了解,各種框架已限制了這種攻擊方式,前些年,SQL注入都已經吃不開了。
還是我來一錘定音的回答你吧,首先說結果:SQL注入會存在,且會一直存在。
只要你用拼接方式寫SQL語句,這種問題就像鬼魅一樣纏著你。雖然我們對開發人員喉嚨都喊破了,SQL必須參數化,但仍有人為了偷那幾行代碼的懶,抱著僥幸心理而使用拼接方式構造SQL語句。
黑客根本不會因為你的網站規模,或者你網站知名度而決定是否黑你,黑客也在與時俱進,基本都是全網智能掃描,甚至比百度爬蟲還智能,互聯網的網站旮旯拐角都能觸及。一但掃到了漏洞,基本都是全自動匹配漏洞進行進一步入侵。以得到你網站后臺密碼,上傳木馬為分尸前的目標。得到服務器密碼后,給你網站掛惡意廣告、釣魚代碼、給服務器裝惡意軟件、挖礦軟件等等,這是另外分尸人員的業務,和黑客無關此處不贅述。
現在說說為啥現在感覺SQL注入少了,這個錯覺主要有兩部分原因。
1、互聯網網站整體沒落,更容易爆出漏洞的小微網站越來越少。
APP、小程序等應用的崛起,由于不暴露地址特點,使黑客掃描漏洞的可能性也小了。
2、最重要的原因是:目前大多數網站都采用了各種成熟的框架技術,框架廠家相比小微建站公司而言,他們的框架產品漏洞更少,而且有團隊長期維護更新,這就會讓漏洞越來越少。
但這也是個雙刃劍,有些知名的框架程序,一但爆出漏洞,很快就會成為大家都知道的秘密,這時候有人黑你網站,甚至更加容易。
總的來說我還是一直用自己寫的程序,在信息安全方面更加注意也就是了。這些年信息安全逐漸成了一門獨立學科,需要學的知識也很多,SQL只是惡性漏洞的一項,還有跨站攻擊等其他惡性問題,大家慢慢了解吧。
sql注入是程序員對代碼考慮不完善造成的。隨著人們對網絡安全的越來越重視,目前大多數開發工具和框架都對sql注入進行了相應的處理,加之系統維護者和云主機提供商都會檢測相關內容,結果就是sql注入越來越難了。它的發展方向會逐漸消亡,但是由于老舊系統和網站的存在以及還有不重視相關內容的開發者,這個過程還是要很緩慢。
沒法注入了,現在都是springboot之類的框架語言,根本不需要你來考慮注入攻擊的問題,那些mybatis之類的數據庫連接會自動檢查sql注入,你用了也會無效
0
回答4
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答