千鋒教育-做有情(qing)懷、有良心、有品(pin)質的職(zhi)業教育機(ji)構
攻擊者(zhe)在HTTP請(qing)求中注(zhu)入惡(e)意的SQL代碼,服務器使用參數構(gou)建數據庫SQL命令時,惡(e)意SQL被一起(qi)構(gou)造,并在數據庫中執行。
防范:
Web端:
1)有效性(xing)檢驗。
2)限制字符串輸(shu)入的長度。
服務端:
1)不用拼(pin)接SQL字(zi)符串。
2)使(shi)用(yong)預編譯的PrepareStatement。
3)有效性檢驗。(為什么服(fu)務端還要做(zuo)有效性檢驗?第一(yi)準(zhun)則,外部都是不(bu)可信的(de),防(fang)止攻(gong)擊者繞過Web端請求)
4)過(guo)濾SQL需(xu)要的參數中的特殊字(zi)符。比如單(dan)引號(hao)、雙引號(hao)。
下一篇
網絡安全面試題4道相關推薦