SQL注入详解
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入详解相关的知识,希望对你有一定的参考价值。
本文将从5个方面叙述SQL注入的一些问题,漏洞原理,测试,利用,危害,修复。接着介绍一些SQL注入的技巧东西。
- 漏洞原理
注入类漏洞是OWASP TOP 10常客,SQL注入占比应该很高。顺带科普一下注入类漏洞,包括SQL,OS,LDAP注入。
SQL注入是发生在应用程序数据库层面的漏洞,当不可信的数据作为查询语句的一部分,发给解析器的时候,在设计不良得应用程序当中忽略检查,攻击者就可以欺骗解析器,执行计划外的命令。
案例:
String query = "SELECT * FROM accounts WHERE custID=‘"+request.getParameter("id")+"‘" ; 当攻击者传进来的id参数为‘ or ‘1‘=‘1 时候
查询语句拼接成 SELECT * FROM accounts WHERE custID=‘ ‘ or ‘1‘=‘1‘ ;
这个查询语句送到解析器里,解析执行后返回的结果为accounts表所有记录。更危险的攻击可能导致数据被篡改甚至存储过程被调用。
- 漏洞测试
手工测试:
以上是关于SQL注入详解的主要内容,如果未能解决你的问题,请参考以下文章