SQL注入
所谓sql注入式攻击,就是攻击者把sql语句插入到表单的输入域或者页面请求中的字符串中,欺骗服务器执行恶意的sql命令。
举例:用户进行登录操作,输入一个username和password,进行查询
select * from users where username = ? and password = ?
攻击者则输出2个 ' ' or '1' = '1',则sql语句则变成:
select * from users where username=' ' or '1'='1' and password = ' ' or '1'='1'
这样的话,sql也能正常执行,攻击者相当于登录成功。
简单的防范方法:1.用户名或者密码进行加密后再保存在数据表中。相当于对用户输入的数据进行"消毒"处理。
2.判断登录操作,查询结果是否只有一条。
网友评论