SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击,动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如:
如果你的查询语句是select * from admin where username=‘"&user&"‘ and password=‘"&pwd&"‘"
那么,如果我的用户名是:1‘ or ‘1‘=‘1
那么,你的查询语句将会变成:
select * from admin where username=‘1 or ‘1‘=‘1‘ and password=‘"&pwd&"‘"
这样你的查询语句就通过了,从而就可以进入你的管理界面。
所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
需要过滤的特殊字符及字符串有:
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
‘
:
"
insert
delete from
drop table
update
truncate
from
%
下面是我写的两种关于解决注入式攻击的防范代码,供大家学习参考!
js版的防范SQL注入式攻击代码~:
[CODE START]
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
Dreamweaver Mac版
視覺化網頁開發工具
SublimeText3 Linux新版
SublimeText3 Linux最新版
SublimeText3漢化版
中文版,非常好用
SublimeText3 英文版
推薦:為Win版本,支援程式碼提示!
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
