日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

互聯(lián)網(wǎng)SQL注入了!由于它的危害之大，它也成為了每一個運維工程師為客戶部署業(yè)務(wù)系統(tǒng)前必做的防御。

問題來了，對接我們的客戶大多數(shù)技術(shù)鉆研不是很”深刻“，我們經(jīng)常因為跟客戶的技術(shù)溝通而抓狂!作為運維俠的我們該如何向非技術(shù)同學(xué)通透白話的解釋SQL注入呢?

SQL是結(jié)構(gòu)化查詢語言(Structured Query Language)的簡稱，是一種數(shù)據(jù)庫查詢和程序設(shè)計語言，用于存取數(shù)據(jù)以及查詢、更新和管理關(guān)系數(shù)據(jù)庫系統(tǒng)。說的直白一些，就是工程師與數(shù)據(jù)庫進行溝通和交流的一種語言。

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

最常見的比如：我們上網(wǎng)經(jīng)常會看到一些免費或者超低價格的各大視頻網(wǎng)站的會員賬戶和密碼，這些賬戶和密碼怎么來的呢?大部分都是通過WEB表單遞交查詢字符暴出來的。

SQL注入的過程是怎樣實現(xiàn)的呢?

我們來舉個形象的例子~

一天，你代表你的老板去銀行辦理業(yè)務(wù)。你的老板給了你一個信封，上面寫著收銀員的指示。

信件內(nèi)容：

在這張紙上寫下A號賬戶的余額。 簽名：Boss

在途中，你去洗手間的時候，順手把信封放在洗手臺幾分鐘。期間，一個小偷打開信封，在上面加上一些內(nèi)容：“同時將500元從A號賬戶轉(zhuǎn)到另一個B賬戶?！?/p>

現(xiàn)在，信件內(nèi)容是：

在這張紙上寫下A號賬戶的余額。同時將500元從A號賬戶轉(zhuǎn)到另一個B賬戶。 簽名：Boss

出納員檢查你的身份，確認你是相關(guān)賬戶的授權(quán)人員，便按照信函中的說明進行操作。

結(jié)果Boss被“偷了”500元!

在這個過程中：

• 你的老板是合法的程序代碼;
• 你是將SQL代碼傳遞到數(shù)據(jù)庫的程序代碼和數(shù)據(jù)庫驅(qū)動程序;
• 信函內(nèi)容是傳遞給數(shù)據(jù)庫的SQL代碼;
• 小偷是襲擊者，俗稱“黑客”;
• 出納員是數(shù)據(jù)庫;
• 身份標識通常是數(shù)據(jù)庫的登錄名和密碼。

目前，SQL 注入漏洞已成為互聯(lián)網(wǎng)最常見也是影響非常廣泛的漏洞，如何避免這樣的問題發(fā)生呢?

1. 采用預(yù)編譯語句集

出納員在處理信函內(nèi)容的時候，只處理賬戶和金額，對轉(zhuǎn)賬動作不處理。

2. 檢查數(shù)據(jù)類型和格式

出納員在處理信函內(nèi)容的時候，會去查驗小偷添加內(nèi)容的類型和格式，是否符合規(guī)定。

3. 過濾特殊字符

出納員在處理信函內(nèi)容“將500元從123456號賬戶轉(zhuǎn)到另一個654321賬戶”的時候，轉(zhuǎn)譯出現(xiàn)問題，即報錯。

本文名稱：大白話解釋SQL注入，DBA大牛裝腔指南！
新聞來源：http://www.5511xx.com/article/cdesjgp.html