0
可能重複:
XKCD sql injection - please explain
What is SQL injection?什麼是SQL注入?
我見過的術語 「SQL注入」,但還是不明白。它是什麼?
A
回答
1
1
當你創建一個SQL查詢通常包含的所有排序位和片段,其中一些來自用戶的輸入。例如,如果您的應用中有「搜索簿」功能,則該書的名稱是來自用戶的字符串。
聰明的邪惡的用戶可以操縱他們發送到您的應用程序的輸入,使得從這個輸入構建的SQL查詢將是有害的。
所以,如果你建立你的查詢是這樣的:
String q = "Select * from books where name='" + bookName + "'"
然後,黑客可以搜索一個名爲"x'; delete from books where name like '%"
書最終的結果將是下面的查詢將被執行: Select * from books where name='x'; delete from books where name like '%'
這將刪除書籍表的所有記錄。避免這種情況的標準方法是在構建包含用戶提供的部分的查詢時始終使用預準備語句。
+0
你的例子解釋了sql注入的概念。 thanx – ruchi 2010-02-07 07:16:16
6
SQL注入是有人在你的一個SQL查詢中插入惡意代碼的地方。
讓我們假設你有一個SQL查詢是這樣的:
select * from people where name = '<name>' and password = '<password>'
現在讓我們假設<name>和<password>由某個人類型替換您的網頁上。如果有人輸入此作爲自己的密碼...
' or '' = '
...然後將得到的查詢是:
select * from people where name = 'someone' and password = '' or '' = ''
...這顯然不是你意圖。你可以閱讀更多關於它here。
+0
你的建議會幫助我很多。 thanx非常...... – ruchi 2010-02-07 07:15:02
相關問題
- 1. 什麼是SQL注入
- 2. 什麼是二級SQL注入
- 3. 什麼是注入JPA
- 4. 什麼是依賴注入?
- 5. 這是什麼類型的數據庫,可能是sql注入?
- 6. CSRF/SQL注入保護。還有什麼?
- 7. 你知道什麼樣的SQL注入?
- 8. 我錯過了什麼? SQL注入
- 9. 爲什麼不能SQL注入?
- 10. ORM注入和SQL注入有什麼區別?
- 11. 是從SQL注入
- 12. 現在已知的SQL注入漏洞是什麼?
- 13. 此代碼是否安全的SQL注入? (以及爲什麼)
- 14. 什麼可能是以下查詢的SQL注入字符串?
- 15. 什麼是需要知道黑客使用SQL注入技術
- 16. 避免sql注入的最佳方式是什麼?
- 17. 什麼是「參數」,它們如何防止SQL注入?
- 18. 防止SQL注入mysql的最佳方法是什麼
- 19. 什麼是在SQL注入命令的使用
- 20. 這種SQL注入的目的是什麼?
- 21. 什麼是NV32ts和它的SQL注入攻擊試圖做什麼?
- 22. 什麼是Groovy中的注入方法?
- 23. 注入SVG的目的是什麼?
- 24. 什麼是「手動依賴注入」?
- 25. 什麼意思是依賴注入?
- 26. 什麼是應用依賴注入
- 27. 什麼是Java字節碼注入?
- 28. 什麼是對SQL Server的SQL注入攻擊?我們如何防止它們?
- 29. 這是SQL注入嗎?
- 30. 特別是SQL注入
強制性xkcd鏈接:http://xkcd.com/327/ – cobbal 2010-02-07 05:57:47
重複許多許多SO問題,包括:http://stackoverflow.com/questions/332365/xkcd-sql-injection-please-explain – 2010-02-07 06:02:46
可能重複的呃? – Zombies 2010-02-13 20:28:21