宿迁腾云网络网站建设公司

腾云网络 八年经验专注网站建设
  • 首页
  • 服务项目
    • 网站建设
    • 微信小程序
    • APP开发
    • SEO优化
  • 建站费用
  • 成功案例
    • 网站建设案例
    • 小程序案例
    • APP开发案例
    • SEO优化案例
  • 行业动态
    • 网站建设
    • SEO优化
    • 技术日志
  • 联系我们
    • 关于我们
首页 > 行业动态 > 技术日志 > 网站安全之php防止注入攻击代码如何检测SQ​​L注入的存在?(图)防止sql注入 php

网站安全之php防止注入攻击代码如何检测SQ​​L注入的存在?(图)防止sql注入 php

2022-12-24

我们如何保护我们的代码免受黑客和不良行为者的侵害?

SQL 注入是一种网络安全漏洞,攻击者可以利用它来更改对数据库的 SQL 查询。 这可用于检索一些敏感信息,例如数据库结构、表、列及其基础数据。

例如,假设应用程序使用以下查询来获取某人的登录详细信息:

SELECT USERNAME,PASSWORD from USERS where USERNAME='' AND PASSWORD='';

这里, 和 是用户提供的输入。 假设攻击者' OR '1'='1 在两个字段中都给出了输入。 所以 SQL 查询类似于:

SELECT USERNAME,PASSWORD from USERS where USERNAME='' OR '1'='1' AND PASSWORD='' OR '1'='1';

查询生成正确的语句,因此用户已登录。此示例描述了最基本的 SQL 注入类型。

SQL 注入可以在任何地方使用小程序开发,从数据库中获取任何敏感信息。

注意:这是最基本的示例,仅供理解之用。 在现实世界中你几乎找不到这样的案例。

您可以使用此备忘单了解如何查询不同的 SQL 数据库提供程序。

如何检测SQ​​L注入的存在?

在大多数情况下,可以通过提供无效参数(例如',' 'a' 或 1=1--, "a"" 或 1=1--" 或 a = a, a' '0)轻松检测到 SQL 注入:0:10'--, 1 '0:0:10'--, %26,' or like '%, etc. 然后你可以观察应用程序行为的变化。

您可以尝试分析服务器响应的长度以及发送响应所需的时间。 ',a' 或 1=1-- 等有效载荷可能会显示数据库服务器响应的变化。 但如果没有变化网站安全之php防止注入攻击代码,那么我们会尝试触发一个时间延迟 a' '0:0:10'-- 使用这样的有效负载。 这可能会在发送响应之前延迟服务器一定时间。

在确定网站是否存在SQL漏洞后,我们可以尝试从数据库中提取一些敏感信息。

在此之前网站优化,我们需要确定 of 查询返回的是什么。 这很重要,因为如果我们尝试获取的列数不等于查询实际返回的列数,那么它将返回错误。

我们可以使用 by 命令确定列数。 例如:

[www.onlineshopping.com/products.php?pid=8](http://www.onlineshopping.com/products.php?pid=8) order by 1 -- //
www.onlineshopping.com/products.php?pid=8 order by 2 -- //// If the parameter is a string then you need to add ' after it.www.onlineshopping.com/products.php?usr=b' order by 3 -- //
www.onlineshopping.com/products.php?usr=a' order by 4 -- //

-- 的意义在于它是 SQL 中的注释指示符,它使查询的其余部分成为注释。 现在为了保留 --,我们在它后面附加任何字符,以便它出现在 HTTP 中。 根据 SQL 数据库提供程序,我们还可以使用 # 或 /* */ 进行注释。

继续此过程,直到遇到错误。 如果按 5 使用负载时出现错误,但按 4 使用负载时没有出现错误,这意味着查询返回 4 列。

如何利用 SQL 注入

一旦您知道应用程序易受 SQL 注入攻击并且您确定了列数网站安全之php防止注入攻击代码,我们将尝试查找有关数据库的必要信息,例如数据库名称、数据库用户名、数据库、所需表等。检查 SQL注入备忘单以找到相应的查询。

基于错误的 SQL 注入类型:这种类型的 SQL 注入依赖于数据库服务器抛出的错误,这可能会为我们提供一些有关数据库结构的有用信息。 基于联合:此技术使用 SQL 运算符组合两个查询的结果并返回单个表。 通过将结果附加到对数据库进行的原始查询,攻击者可以从其他表中提取信息。 盲注:当应用程序易受 SQL 攻击但 SQL 的结果未在 HTTP 中返回时,就会发生这种情况。 在这种情况下,我们查询数据库中的任何 true/ 并查看 true 和条件的变化。 它有两种类型: 基于内容:在这种技术中,当发送真实条件和条件时,将使用任何条件语句查询数据库服务器,并分析服务器中的条件差异。 基于时间:此技术依赖于注入 SQL 查询,使数据库根据指定条件等待特定时间。 服务器发回响应所花费的时间决定了查询是真还是假。 带外注入(不常见):这不是一种非常常见的 SQL 类型,因为它取决于数据库服务器上启用的功能。 它依赖于数据库服务器发出类似 HTTP、DNS 和 ftp 的 Web 请求的能力来向攻击者发送数据。 如何保护您的代码免受 SQL 注入攻击? 切勿直接根据用户输入构建查询。 相反,使用参数化语句。 它们确保安全地处理传递给 SQL 查询的输入。 净化用户输入总是一件好事。 此外,应进行适当的输入验证,例如姓名不能是数字或电话号码不能是字母。 但是,它有时可以被绕过。 使用安全驱动程序与 SQL 数据库交互。 它们会自动阻止所有 SQL 注入攻击。 例如,适用于 . SQL Map 是一种用于处理和注入 SQL 漏洞的开源工具。 这个存储库上有一些很酷的 SQL 资源。 它包括一些备忘单和许多有用的有效载荷,可以根据用例使用。

译自:

Tag: sql注入 网站安全 数据库 sql注入攻击 sql数据库
网站制作公众号

宿迁腾云网络网站建设公司 | 网站开发 | 网站制作 | 网站优化

咨询电话:13160355545

上一篇

返回栏目

下一篇

免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系网站客服处理。

热推

  • php开源网站管理系统一个的轻量级PHP开发框架,支持基于命令行的应用开发深喉咙php免费开源企业建站系统
  • 四十岁转行从事软件编程工作具有较大的困难
  • 《PHP视频教程》使用“()”方法进行转换
  • php网站根目录如何将织梦程序转程序呢?易优CMS官网数据转换魔法禁书目录垣根帝督
  • 学习编程语言之前,你真的了解别人讲话的意思吗?
  • php高级编程书籍想要成为网络安全专家,需要了解的重要的低级IT基础架构搜索引擎优化高级编程:php版
  • c++编程初学软件有哪些?--—c++语言最好
  • 本部宣布PHPPDT项目1.0版本的可用性是一套和框架
  • php面试编程题牛客网在线面试无需下载任何APP,满足多场景面试需求php 笔试编程题
  • PHP8确认支持JIT,加上Swoole给你不一样的感觉

相关

网站安全之php防止注入攻击代码
一1.注入原理sql注入漏

网站安全之php防止注入攻击代码 一1.注入原理sql注入漏

网站安全之php防止注入攻击代码2019年以来,研究人员一直

网站安全之php防止注入攻击代码SQL攻击(英语:SQL),

网站安全之php防止注入攻击代码SQL攻击(英语:SQL),

网站安全之php防止注入攻击代码防御:DDoS攻击介绍、CS

网站安全之php防止注入攻击代码聊一聊一定要用正规的程序源码

网站安全之php防止注入攻击代码聊一聊一定要用正规的程序源码

php网站安全测试教你介绍一系列的步骤,来保护你网站的安全p

php网站安全测试教你介绍一系列的步骤,来保护你网站的安全p

网站后台管理系统php一点网站安全更改后台登录地址的默认的后

网站后台管理系统php一点网站安全更改后台登录地址的默认的后

php网站后台密码破解工具,网站后台用户名密码破解大多数企业

php网站后台密码破解工具,网站后台用户名密码破解大多数企业

PHP架构网站安全日志检测系统审计特别多的日志文件

PHP架构网站安全日志检测系统审计特别多的日志文件

了解常见PHP应用程序安全威胁,掌握6个常见安全性攻击

了解常见PHP应用程序安全威胁,掌握6个常见安全性攻击

标签

seo(1182) 市场营销(661) 网站制作(573) 网站建设(564) 搜索引擎(553) 网站(482) PHP(361) 编程语言(345) 建站(294) 关键词排名优化(267) 网站建设公司(245) 优化(216) seo排名(207) 域名(190) 软件(171) 网站优化(148) 搜索引擎优化(146) 外链(141) 科技(136) 网站关键词(124) 网站排名优化(123) 域名服务器(120) 网站排名(107) 时政(103) 排名优化(95) 搜索引擎收录(93) 网站设计(92) 电子商务(88) 引擎(86) 移动互联网(85) 开发框架(79) 开发(75) 网站服务器(74) 框架(68) 前端开发(68) 网站分析(66) 网站建设方案(65) 关键(64) 流量(63) 源码(62) 百度优化(62) 网站权重(61) 开放源代码(59) seo培训(53) 网页设计(51) 百度(51) php框架(50) 网站建设知识(50) 大数据(50) 谷歌(49)
宿迁腾云网络网站建设公司
网站建设
  • 私人定制
  • 标准模板建站
  • 经济模板建站
精品模板

宿迁腾云网络网站建设公司

联系电话:13160355545

公司地址:江苏省宿迁市丽景湾华庭北门都市花园公寓9楼907

联系邮箱:admin@tyweb.net

全国分站
  • 北京
  • 广东
  • 东莞 广州 中山 深圳 惠州 江门 珠海 汕头 佛山 湛江 河源 肇庆 潮州 清远 韶关 揭阳 阳江 云浮 茂名 梅州 汕尾
  • 山东
  • 济南 青岛 临沂 济宁 菏泽 烟台 泰安 淄博 潍坊 日照 威海 滨州 东营 聊城 德州 莱芜 枣庄
  • 江苏
  • 苏州 徐州 盐城 无锡 南京 南通 连云港 常州 扬州 镇江 淮安 泰州 宿迁
  • 河南
  • 郑州 南阳 新乡 安阳 洛阳 信阳 平顶山 周口 商丘 开封 焦作 驻马店 濮阳 三门峡 漯河 许昌 鹤壁 济源
  • 上海
  • 河北
  • 石家庄 唐山 保定 邯郸 邢台 沧州 秦皇岛 张家口 衡水 廊坊 承德
  • 浙江
  • 温州 宁波 杭州 台州 嘉兴 金华 湖州 绍兴 舟山 丽水 衢州
  • 陕西
  • 西安 咸阳 宝鸡 汉中 渭南 安康 榆林 商洛 延安 铜川
  • 湖南
  • 长沙 邵阳 常德 衡阳 株洲 湘潭 永州 岳阳 怀化 郴州 娄底 益阳 张家界 湘西
  • 重庆
  • 福建
  • 漳州 泉州 厦门 福州 莆田 宁德 三明 南平 龙岩
  • 天津
  • 云南
  • 昆明 红河 大理 文山 德宏 曲靖 昭通 楚雄 保山 玉溪 丽江 临沧 思茅 西双版纳 怒江 迪庆
  • 四川
  • 成都 绵阳 广元 达州 南充 德阳 广安 阿坝 巴中 遂宁 内江 凉山 攀枝花 乐山 自贡 泸州 雅安 宜宾 资阳 眉山 甘孜
  • 广西
  • 贵港 玉林 北海 南宁 柳州 桂林 梧州 钦州 来宾 河池 百色 贺州 崇左 防城港
  • 安徽
  • 芜湖 合肥 六安 宿州 阜阳 安庆 马鞍山 蚌埠 淮北 淮南 宣城 黄山 铜陵 亳州 池州 巢湖 滁州
  • 海南
  • 三亚 海口 琼海 文昌 东方
  • 江西
  • 南昌 赣州 上饶 吉安 九江 新余 抚州 宜春 景德镇 萍乡 鹰潭
  • 湖北
  • 武汉 宜昌 襄樊 荆州 恩施 孝感 黄冈 十堰 咸宁 黄石 仙桃 随州 天门 荆门 潜江 鄂州 神农架
  • 山西
  • 太原 大同 运城 长治 晋城 忻州 临汾 吕梁 晋中 阳泉 朔州
  • 辽宁
  • 大连 沈阳 丹东 辽阳 葫芦岛 锦州 朝阳 营口 鞍山 抚顺 阜新 本溪 盘锦 铁岭
  • 黑龙江
  • 齐齐哈尔 哈尔滨 大庆 佳木斯 双鸭山 牡丹江 鸡西 黑河 绥化 鹤岗 伊春 大兴安岭 七台河
  • 内蒙古
  • 赤峰 包头 通辽 呼和浩特 乌海 鄂尔多斯 呼伦贝尔
  • 贵州
  • 贵阳 黔东 黔南 遵义 黔西 毕节 铜仁 安顺 六盘水
  • 甘肃
  • 兰州 天水 庆阳 武威 酒泉 张掖 陇南 白银 定西 平凉 嘉峪关 临夏 金昌 甘南
  • 青海
  • 西宁 海西 海东 海北 果洛 玉树 黄南
  • 新疆
  • 乌鲁木齐 伊犁 昌吉 石河子 哈密
  • 西藏
  • 拉萨 山南 林芝 日喀则
  • 吉林
  • 长春 白山 白城 延边 松原 辽源 通化 四平
  • 宁夏
  • 银川 吴忠 中卫 石嘴山 固原
SiteMap
网站地图
TAG标签
Copyright © 2017-2025 TYWEB.NET 宿迁腾云网络科技有限公司 ALL RIGHTS RESERVED.   苏ICP备17033535号-1

热门搜索

百度 下载 2025 2024 2026 货源 货货源 虚拟 禅道 报名 金蝶KIS旗舰版
  • 客服

    在线客服

  • 电话

    13160355545

  • 微信

精品模板
建站费用
成功案例
联系我们