sql注入***原理:
是數據庫的安全漏洞。網站服務器端語言自身的缺陷以及程序設計過程中,對安全方面,考慮不足或者是不全面導致對輸入字符串中夾帶的sql指令的檢查,
從而使數據庫受到***,包括數據庫的數據破壞,植入惡意代碼。
sql注入位置:
注入到數據庫。網站與數據庫形成交互的輸入點。1.get和post提交頁面;2.cookie參數提交頁面;3.http的頭部值;4.邊緣輸入點。
sql注入危害:
1.數據庫信息泄露;2.通過數據庫對特定網頁進行篡改;3.網站掛馬;4.後門程序;5.破壞硬盤數據。
sql注入解決方案:
1.查詢語句的都使用數據庫提供的參數化查詢接口,參數化的語句使用參數而不是將用戶輸入變量嵌入到sql語句中;
2.對特殊字符('"\<>&*;)進行轉義處理;
3.確認數據類型;
4.規定數據長度;
5.數據層編碼統一,utf-8;
6.數據庫用戶的操作權限;
7.避免顯示sql錯誤信息。