目錄

1、分析及其存在哪些危險

2、預防SQL注入

---

1、分析及其存在哪些危險

• 原理：

  • SQL 注入是一種常見的網絡攻擊手段，攻擊者通過在用戶輸入中插入惡意的 SQL 語句，利用程序對用戶輸入處理不當的漏洞，使惡意 SQL 語句被數據庫服務器執行。

  • 通常發生在應用程序將用戶輸入直接拼接到 SQL 語句中，而沒有進行適當的過濾或轉義的情況下。例如：

-- 正常的查詢語句
SELECT * FROM users WHERE username = 'admin' AND password = '123456';
-- 注入后的查詢語句
SELECT * FROM users WHERE username = 'admin' AND password = '' OR 1=1

• 在上述注入后的語句中，攻擊者在密碼輸入中添加 ' OR 1=1; --，使得 OR 1=1 這個條件始終為真，而 -- 后面的內容被視為 SQL 注釋，導致登錄驗證被繞過。

• 常見場景：

  • 登錄頁面：用戶輸入用戶名和密碼進行登錄，如果輸入沒有被正確處理，攻擊者可以繞過登錄驗證。

  • 搜索功能：