感謝邀請��,針對你得問題�����,我有以下回答,希望能解開你的困惑�����。
首先回答第一個問題:什么是SQL 注入?
一般來說����,黑客通過把惡意的sql語句插入到網(wǎng)站的表單提交或者輸入域名請求的查詢語句����,最終達(dá)到欺騙網(wǎng)站的服務(wù)器執(zhí)行惡意的sql語句,通過這些sql語句來獲取黑客他們自己想要的一些數(shù)據(jù)信息和用戶信息��,也就是說如果存在sql注入����,那么就可以執(zhí)行sql語句的所有命令
那我延伸一個問題:sql注入形成的原因是什么呢?
數(shù)據(jù)庫的屬于與網(wǎng)站的代碼未嚴(yán)格分離���,當(dāng)一個黑客提交的參數(shù)數(shù)據(jù)未做充分的檢查和防御的話��,那么黑客的就會輸入惡意的sql命令���,改變了原有的sql命令的語義�����,就會把黑客執(zhí)行的語句帶入到數(shù)據(jù)庫被執(zhí)行�����。
現(xiàn)在回答第二個問題:我們常見的注入方式有哪些�����?
我們常見的提交方式就是GET和POST
首先是GET�,get提交方式��,比如說你要查詢一個數(shù)據(jù)��,那么查詢的代碼就會出現(xiàn)在鏈接當(dāng)中����,可以看見我們id=1,1就是我們搜索的內(nèi)容���,出現(xiàn)了鏈接當(dāng)中����,這種就是get。
第二個是Post提交方式是看不見的�,需要我們利用工具去看見,我們要用到hackbar這款瀏覽器插件
可以就可以這樣去提交���,在這里我搜索了2����,那么顯示的數(shù)據(jù)也就不同��,這個就是數(shù)據(jù)庫的查詢功能�����,那么的話��,get提交比post的提交更具有危害性��。
第二個是Post提交方式是看不見的��,需要我們利用工具去看見����,我們要用到hackbar這款瀏覽器插件。
以上便是我的回答��,希望對你有幫助����。
贊同0
評論0
加載中...
