安全

96
zsj0310
2017.04.25 18:35* 字数 193

SQL注入

所谓sql注入式攻击,就是攻击者把sql语句插入到表单的输入域或者页面请求中的字符串中,欺骗服务器执行恶意的sql命令。

举例:用户进行登录操作,输入一个username和password,进行查询

select * from users where username = ? and password = ? 

攻击者则输出2个 ' ' or '1' = '1',则sql语句则变成:

select * from users where username=' ' or '1'='1'  and password = ' ' or '1'='1'

这样的话,sql也能正常执行,攻击者相当于登录成功。

简单的防范方法:1.用户名或者密码进行加密后再保存在数据表中。相当于对用户输入的数据进行"消毒"处理。
2.判断登录操作,查询结果是否只有一条。

日记本