web SQL注入

Posted xc_flying

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web SQL注入相关的知识,希望对你有一定的参考价值。

 

注入类型

 

1.数字注入

     ?id=12 or 1=1

结果:查询出了数据库所有数据

 

 2.字符注入

用户名后加上 \'# 或者 \'--  ,生成的查询语句从密码后其实是被注释了,所以绕过了密码验证

 

预防方法

 

 

 

 1.  is_number()进行类型判断,或者 intval()进行强制类型转换

 2.  addslashes()对单引号、双引号进行转义

 3. 不做说明

以上是关于web SQL注入的主要内容,如果未能解决你的问题,请参考以下文章

实验吧web-简单的sql注入之1

Web安全——SQL注入漏洞

基础Web漏洞-SQL注入入门(手工注入篇)

第三天--注入攻击:Web安全之SQL注入漏洞专题

web安全 sql注入

WEB安全:SQL注入