看看:
(来源:https://xkcd.com/327/)
这个SQL做什么:
Robert'); DROP TABLE STUDENTS; --
我知道'和——都是用来评论的,但是DROP这个词不是也会被评论吗?因为它是同一行的一部分。
当前回答
SQL中的'字符用于字符串常量。在本例中,它用于结束字符串常量,而不是用于注释。
其他回答
假设名称用于变量$ name。然后运行这个查询:
INSERT INTO Students VALUES ( '$Name' )
该代码错误地将用户提供的任何内容作为变量。你希望SQL是:
插入学生价值观(“罗伯特表格”)
但聪明的用户可以提供他们想要的任何东西:
INSERT INTO Students VALUES ('Robert');DROP TABLE Students;——”)
你得到的是:
INSERT INTO Students VALUES ( 'Robert' ); DROP TABLE STUDENTS; --' )
——only注释该行的其余部分。
进行SQL注入时不需要输入表单数据。
之前没有人指出这一点,所以我要提醒你们。
大多数情况下,我们将尝试修补表单输入。但这并不是SQL注入攻击的唯一地方。你可以对URL进行非常简单的攻击,通过GET请求发送数据; 考虑下面的例子:
<a href="/show?id=1">show something</a>
你的url是这样的 http://yoursite.com/show?id=1
现在有人可以尝试这样的方法
http://yoursite.com/show?id=1;TRUNCATE table_name
尝试用真实的表名替换table_name。如果他记对了你的桌名,他们就会把你的桌子清空!(这是非常容易brut force这个URL与简单的脚本)
您的查询应该是这样的……
"SELECT * FROM page WHERE id = 4;TRUNCATE page"
使用PDO的PHP易受攻击代码示例:
<?php
...
$id = $_GET['id'];
$pdo = new PDO($database_dsn, $database_user, $database_pass);
$query = "SELECT * FROM page WHERE id = {$id}";
$stmt = $pdo->query($query);
$data = $stmt->fetch();
/************* You have lost your data!!! :( *************/
...
解决方案-使用PDO prepare()和bindParam()方法:
<?php
...
$id = $_GET['id'];
$query = 'SELECT * FROM page WHERE id = :idVal';
$stmt = $pdo->prepare($query);
$stmt->bindParam('idVal', $id, PDO::PARAM_INT);
$stmt->execute();
$data = $stmt->fetch();
/************* Your data is safe! :) *************/
...
它是这样工作的: 假设管理员正在查找学生的记录
Robert'); DROP TABLE STUDENTS; --
由于admin帐户拥有很高的权限,因此可以从该帐户中删除表。
从请求中检索用户名的代码是
现在查询是这样的(搜索student表)
String query="Select * from student where username='"+student_name+"'";
statement.executeQuery(query); //Rest of the code follows
生成的查询变成
Select * from student where username='Robert'); DROP TABLE STUDENTS; --
由于用户输入没有被净化,上面的查询被操作成两个部分
Select * from student where username='Robert');
DROP TABLE STUDENTS; --
双破折号(——)将注释掉查询的其余部分。
这是很危险的,因为如果存在密码验证,它会使密码验证无效
第一个会进行正常的搜索。
如果帐户有足够的权限,第二个将删除表student(通常学校管理帐户将运行这样的查询,并将具有上面讨论的权限)。
数据库的作者可能做了一个
sql = "SELECT * FROM STUDENTS WHERE (STUDENT_NAME = '" + student_name + "') AND other stuff";
execute(sql);
如果给出的是student_name,则使用名称“Robert”进行选择,然后删除表。“——”部分将给定查询的其余部分更改为注释。
SQL中的'字符用于字符串常量。在本例中,它用于结束字符串常量,而不是用于注释。
推荐文章
- 用于匹配英国邮政编码的正则表达式
- 最小有效JSON是多少?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- 我真的需要将“&”编码为“&”吗?
- cer、pvk和pfx文件有什么区别?
- jQuery:什么是限制“数字”仅输入文本框的最佳方法?(允许使用小数点)
- 如何在AngularJS中有条件地要求表单输入?
- 什么HTTP状态码应该用于错误的输入
- Django设置“SECRET_KEY”的目的是什么?
- 从JSON数据生成JSON模式的工具
- 如何从命令行重置Jenkins安全设置?
- 为什么一个函数检查字符串是否为空总是返回true?
- 如何通过SFTP从服务器检索文件?
