sql注入***原理:
是数据库的安全漏洞。网站服务器端语言自身的缺陷以及程序设计过程中,对安全方面,考虑不足或者是不全面导致对输入字符串中夹带的sql指令的检查,
从而使数据库受到***,包括数据库的数据破坏,植入恶意代码。
sql注入位置:
注入到数据库。网站与数据库形成交互的输入点。1.get和post提交页面;2.cookie参数提交页面;3.http的头部值;4.边缘输入点。
sql注入危害:
1.数据库信息泄露;2.通过数据库对特定网页进行篡改;3.网站挂马;4.后门程序;5.破坏硬盘数据。
sql注入解决方案:
1.查询语句的都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到sql语句中;
2.对特殊字符('"\<>&*;)进行转义处理;
3.确认数据类型;
4.规定数据长度;
5.数据层编码统一,utf-8;
6.数据库用户的操作权限;
7.避免显示sql错误信息。