2016 - 2024

感恩一路有你

sql注入检测工具 什么是sql注入?我们常见的提交方式有哪些?

浏览量:2758 时间:2021-04-02 20:21:33 作者:admin

什么是sql注入?我们常见的提交方式有哪些?

感谢邀请,针对你得问题,我有以下回答,希望能解开你的困惑。

首先回答第一个问题:什么是SQL 注入?

一般来说,黑客通过把恶意的sql语句插入到网站的表单提交或者输入域名请求的查询语句,最终达到欺骗网站的服务器执行恶意的sql语句,通过这些sql语句来获取黑客他们自己想要的一些数据信息和用户信息,也就是说如果存在sql注入,那么就可以执行sql语句的所有命令

那我延伸一个问题:sql注入形成的原因是什么呢?

数据库的属于与网站的代码未严格分离,当一个黑客提交的参数数据未做充分的检查和防御的话,那么黑客的就会输入恶意的sql命令,改变了原有的sql命令的语义,就会把黑客执行的语句带入到数据库被执行。

现在回答第二个问题:我们常见的注入方式有哪些?

我们常见的提交方式就是GET和POST

首先是GET,get提交方式,比如说你要查询一个数据,那么查询的代码就会出现在链接当中,可以看见我们id=1,1就是我们搜索的内容,出现了链接当中,这种就是get。

第二个是Post提交方式是看不见的,需要我们利用工具去看见,我们要用到hackbar这款浏览器插件

可以就可以这样去提交,在这里我搜索了2,那么显示的数据也就不同,这个就是数据库的查询功能,那么的话,get提交比post的提交更具有危害性。

第二个是Post提交方式是看不见的,需要我们利用工具去看见,我们要用到hackbar这款浏览器插件。

以上便是我的回答,希望对你有帮助。



现在SQL注入死透了吗?

可以说基本上死透了,现在除非那种笨蛋程序员谁还会用手动拼接SQL语句的方式呢?都是框架自动生成,而框架层面,基本上杜绝了SQL注入的可能性。


必须要承认一点,技术在不断地发展。当年用C 语言动不动就忘了释放指针,内存泄漏。于是有了后面Java等一大票带GC的语言,你放心用,碰到忘了释放的我帮你找出来释放。现在也是一样的,各种框架早就替你想好了SQL注入问题,它们把类库做得越来越好用,甚至很多类库已经是傻瓜式调用,目的就是为了让程序员们用的爽,彻底根除SQ注入问题。


当然,社会工程学是永远也逃避不开的问题。就算世界上所有类库都解决了SQL注入问题,也还是避免不了有人用123456做密码。所以搞渗透的也不要老是纠结于SQL注入这个层面,从更高处思考问题,才能更好的解决问题。

sql注入检测工具 自动寻找sql注入的工具 sql 注入

版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。