sql注入
发布日期:2021-06-28 18:42:10
浏览次数:2
分类:技术文章
本文共 729 字,大约阅读时间需要 2 分钟。
1、假如有一个系统,需要输入用户名和密码进行登录,那么这个系统的后台肯定有一条sql,这个sql的逻辑是根据用户名和密码去 查询有没有这个用户,如果有,就登录成功,如果没有,就登录失败
2、假如这个sql是这样的:select * from user where username=? and password=?
?是变量,就是要输入的用户名和密码
3、预编译:预编译就是在将变量替换成输入的值之前,就编译好这条sql,sql编译之后结构就固定了
4、假如用户真实的用户名和密码分别是(zhangsan,123456)
5、sql注入:这条带变量的sql不进行预编译,那么sql的结构不固定,假如黑客知道zhangsan这个用户名不知道密码,但是他输入 的密码是(123 or 1=1),or这个关键字就改变了这条sql的结构,那么这条带变量的sql替换之后就成了这个样子(select * from user where username=zhangsan and password=123 or 1=1),那么即使密码输入错误,这条sql仍能查出结果(因为最后的or 1=1能保证一定查出结果,不信去数据库运行看看),黑客恶意登录就成功,这就是sql注入6、防sql注入:对sql进行预编译,sql一旦结构固定,那么即使sql长这样(select * from user where username=zhangsan and password=123 or 1=1),咱们的数据库只会把密码当成123 or 1=1,这个密码肯定是不对的,那登录肯定失败,预编译就成功防止了sql注入
7、至于如何对sql预编译,各种编程语言(比如java)都有实现转载地址:https://blog.csdn.net/xl_1803/article/details/103381678 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
不错!
[***.144.177.141]2024年04月29日 08时01分54秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
android课程表!大厂offer手到擒来,满满干货指导
2019-04-29
android网!2021中级Android开发面试解答,进阶学习资料!
2019-04-29
android自动化测试工具!为什么有人说Android开发不再吃香?建议收藏
2019-04-29
android系统架构五层!最详细的解释小白也能听懂,2年以上经验必看
2019-04-29
android线刷包!跟我一起手写EventBus吧,大厂内部资料
2019-04-29
android实战!百度、阿里、滴滴、新浪的面试心经总结,满满干货指导
2019-04-29
Android小技巧:一线互联网移动架构师NDK模块开发!含BATJM大厂
2019-04-29
docker搭建postgresql9.4主从同步复制集群
2019-04-29
docker下postgis12+postgis3.0搭建
2019-04-29
什么是函数式编程
2019-04-29
Java开发必用的工具包
2019-04-29
世界500强公司要求员工必须熟练掌握的七种工作方法
2019-04-29
九个做事的顺序,你会更加优秀
2019-04-29
史上最详细的Hadoop环境搭建
2019-04-29
最近经历的一些大数据(Spark/Hadoop)面试题
2019-04-29
Hadoop MapReduce原理及实例
2019-04-29
Java 集合系列目录(Category)
2019-04-29
redis永久设置或取消密码
2019-04-29
Git .gitignore配置学习
2019-04-29