Sql Inject(SQL注入)概述

哦,SQL注入漏洞,可怕的漏洞。


     在owasp發布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首當其沖的就是數據庫注入漏洞。
一個嚴重的SQL注入漏洞,可能會直接導致一家公司破產!
SQL注入漏洞主要形成的原因是在數據交互中,前端的數據傳入到后臺處理時,沒有做嚴格的判斷,導致其傳入的“數據”拼接到SQL語句中后,被當作SQL語句的一部分執行。 從而導致數據庫受損(被脫褲、被刪除、甚至整個服務器權限淪陷)。
在構建代碼時,一般會從如下幾個方面的策略來防止SQL注入漏洞:
1.對傳進SQL語句里面的變量進行過濾,不允許危險字符傳入;
2.使用參數化(Parameterized Query 或 Parameterized Statement);
3.還有就是,目前有很多ORM框架會自動使用參數化解決注入問題,但其也提供了"拼接"的方式,所以使用時需要慎重!

SQL注入在網絡上非常熱門,也有很多技術專家寫過非常詳細的關于SQL注入漏洞的文章,這里就不在多寫了。
你可以通過“Sql Inject”對應的測試欄目,來進一步的了解該漏洞。