1、SQL注入介绍:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
2、SQL注入技术包括(强制产生错误、采用非主流通道技术、使用特殊的字符、使用条件语句、利用存储过程、避开输入过滤技术、推断技术)
3、SQL注入防范包括
(输入验证、错误消息处理、加密处理、存储过程来执行所有的查询、使用专业的漏洞扫描工具、确保数据库安全、安全审评)
4、SQL注入实例一
SELECT * FROM admin WHERE adminname=$adminname;
当adminname传入的参数是'admin';SHOW TABLES时执行语句就变成
SELECT * FROM admin WHERE adminname='admin';SHOW TABLES
这样执行结果就是返回用户信息以及表名
5、SQL注入实例二
SELECT * FROM admin WHERE adminname='{$adminname}' AND password='{$password}'
当adminname输入( 'admin' AND 1=1--) 时执行语句就变成
SELECT * FROM admin WHERE adminname='admin' AND 1=1-- AND password='123123'
6、最基本的防止注入,就是在接收参数的时候过滤掉特殊字符
