一、 初识sql注入

什么是sql注入?

sql注入就是将SQL语句插入到用户输入或接收数据的地方,数据库执行后将结果返回到前台。

产生SQL注入的原因:

(对接收的数据) 过滤不严格

可能引发SQL注入的地方:

任何客户端可控的,传入到服务器的变量,参数值带到数据库查询且未过滤,就会引起SQL注入。

产生SQL注入分类:

根据注入语法分类:
1.布尔注入
2.报错型注入
3.可联合查询的注入
4.可多语句查询的注入
5.基于时间延迟的注入

根据数据类型分类:
1.整型注入
2.字符串类型注入
3.搜索型注入

产生怎样判断SQL注入:

URL 判断注入:
1.根据返回页面的正常与非正常,看是否存在SQL注入。and 1=1 或 and 1=2(整型)
2.单引号判断 ,显示数据库错误信息。(字符串型)
3.随机输入方法判断 (整型)
4.-1 / +1 回显上个页面(整型)
5.and sleep(5) (判断页面返回时间)

防御方法:

1.开启魔术引号
2.对整型变量,经过intval()函数转化

你可能感兴趣的:(一、 初识sql注入)