阿国运维网技术分享平台:桌面运维、网络运维、系统运维、服务器运维(及云服务器),精品软件分享、阿国网络、尽在北京运维网
所谓Web漏洞攻防这东西心正之人用之则正,心术不正之人用之则邪,本文目的旨在大家了解web漏洞防御,切勿利用此文去攻击网站。
在了解web漏洞之前,必须了解web数据传输:
我们常见的Web漏洞类型主要有SQL注入、XSS、远程命令执行以及越权等。
SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
不扯犊子了直接上代码
贴上页面源码:
下面重头戏来了,在用户名输入框中输入:’ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为:
因为1=1永远是都是成立的,即where子句总是为真,将该sql进一步简化之后,等价于如下select语句:
select * from users 没错,该sql语句[文]的作用是检索use[章]rs表中的所有字段[来],后果可想而知。
然而又有人问,你说了这么多,那要怎么防呢?当然有办法:
其实最好的办法是用shiro框架,当然用存储过程也可以解决,以下是简单技术用来解决sql注入的问题,未用到框架;有些shiro框架可能包含了,shiro框架我们以后详细说明。
免责声明:本文来自
HaleyLiu,不代表
阿国运维网的观点和立场,如有侵权请联系本平台处理。
-- 展开阅读全文 --