MariaDB中SQL注入怎么回事,如何理解
Admin 2022-09-26 群英技术资讯 949 次浏览
关于“MariaDB中SQL注入怎么回事,如何理解”的知识有一些人不是很理解,对此小编给大家总结了相关内容,具有一定的参考借鉴价值,而且易于学习与理解,希望能对大家有所帮助,有这个方面学习需要的朋友就继续往下看吧。接受用户输入的简单行为打开了利用的大门。 这个问题主要来自数据的逻辑管理,但幸运的是,很容易避免这些主要缺陷。
SQL注入的机会通常发生在输入诸如名称的数据的用户上,并且代码逻辑无法分析该输入。 相反,代码允许攻击者插入MariaDB语句,该语句将在数据库上运行。
始终考虑用户输入的数据,可疑的,在任何处理之前需要强大的验证。 通过模式匹配执行此验证。 例如,如果期望的输入是用户名,将输入的字符限制为字母数字字符和下划线,并且限制为一定长度。 查看下面给出的示例 -
if(check_match("/^w{8,20}$/", $_GET['user_name'], $matches)) {
$result = mysql_query("SELECT * FROM system_users WHERE user_name = $matches[0]");
} else {
echo "Invalid username";
}
此外,在创建输入约束时使用REGEXP运算符和LIKE子句。
考虑所有类型的必要的显式控制输入,如 -
控制使用的转义字符。
控制特定的适当数据类型以进行输入。 将输入限制为必需的数据类型和大小。
控制输入数据的语法。 不要允许任何模式外的任何东西。
控制允许的条款。 黑名单SQL关键字。
你可能不知道注入攻击的危险,或者可能认为它们不重要,但它们是安全问题的列表。 此外,考虑这两个条目的效果 -
1=1 -or- *
允许任何一个与正确的命令一起输入的代码可能导致揭示数据库上的所有用户数据或删除数据库上的所有数据,并且两种注入都不是特别聪明。 在某些情况下,攻击者甚至不花时间检查孔; 他们用简单的输入执行盲攻击。
另外,考虑由与MariaDB配合的任何编程/脚本语言提供的模式匹配和正则表达式工具,它们提供更多的控制,有时更好的控制。
以上就是关于“MariaDB中SQL注入怎么回事,如何理解”的相关知识,感谢各位的阅读,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注群英网络,小编每天都会为大家更新不同的知识。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
猜你喜欢
-
MariaDB中的sum()函数用来做什么,用法是怎样
MariaDB SUM()函数用于返回表达式求和的值。
-
在MariaDB数据库中如何更改现有表的结构
ALTER TABLE命令是用于更改现有表的结构。 例如,可以添加或删除列,创建或销毁索引,更改现有列的类型或重命名列或表本身。也可以更改表的注释和
-
MariaDB like子句的用处是什么,如何使用
WHERE子句提供了一种在操作使用完全匹配时检索数据的方法。 在需要具有共享特征的多个结果的情况下,LIKE子句适应宽模式匹配。LIKE子句测试模式匹配,返回true或false。 用于比较的模式接受以下通配符:"%",其匹配字符数(0或更多); 和"_",它匹配单个字符
-
MariaDB中Avg()的使用是怎样,有什么技巧
MariaDB Avg()函数用于检索表达式的平均值。
-
MariaDB数据类型有几种,基本语法是什么
以下是MariaDB中的数据类型列表,字符串数据类型数字数据类型日期/时间数据类型大对象数据类型
推荐内容
成为群英会员,开启智能安全云计算之旅
立即注册
Copyright © QY Network Company Ltd. All Rights Reserved. 2003-2020 群英 版权所有
增值电信经营许可证 : B1.B2-20140078 粤ICP备09006778号 域名注册商资质 粤 D3.1-20240008
