在此期间,不少博客和微博曝光了12306铁道部网站的一些漏洞,作为这么大的项目,要说存在漏洞也不是不可能,但这个漏洞确实是新人级程序员犯的错误。 其实sql注入漏洞只有一个。 作为一名私人程序员,我对sql注入的东西并不陌生,所以我抽出时间进行了专业学习。 现在和大家分享学习的成果,希望对大家的学习有帮助。 那么让我们来看看吧。
一、什么是sql注入呢?
SQL注入是通过在Web表单中插入SQL命令并传递或输入域名或页面请求查询字符串,最终欺骗服务器以执行恶意SQL命令。 例如,以前的很多视频网站都泄露了VIP会员密码,是通过Web表格暴露了查询字符,这样的表格特别容易受到SQL注入攻击。 当APP应用程序使用输入内容生成动态SQL语句并访问数据库时,会发生SQL注入攻击。 当代码使用存储过程并将这些存储过程作为包含未过滤用户输入的字符串传递时,也会发生sql注入。 黑客可以通过SQL注入攻击获得对站点数据库的访问权限,然后获得站点数据库中的所有数据。 恶意黑客可以通过SQL注入功能篡改数据库中的数据或破坏数据库中的数据。 作为网络开发者的你,非常憎恨这样的黑客行为。 当然,您需要了解SQL注入这一功能的工作原理,并学习如何通过代码保护自己网站的数据库
二. sql注入的产生原因
sql注入攻击是利用设计上的漏洞,在目标服务器上执行sql语句,进行其他方式的攻击,sql注入攻击在动态生成sql语句时没有验证用户输入的数据,这一点是成功的对于Java数据库连接JDBC,SQL注入攻击仅对语句有效,而对属性语句无效。 这是因为PreparedStatement无法在不同的插入时间更改查询的逻辑结构。
确保用户具有以下SQL语句:
用户名’and PS