千锋教育-做有情怀、有良心、有品质的职业教育机构

当前位置:首页  >  IT面试题  >  网络安全面试题  >  正文

什么是SQL注入攻击?如何防范?

来源:千锋教育
发布时间:2022-09-26 16:15:00
分享

  攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。

  防范:

  Web端:

  1)有效性检验。

  2)限制字符串输入的长度。

  服务端:

千锋教育

  1)不用拼接SQL字符串。

  2)使用预编译的PrepareStatement。

  3)有效性检验。(为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过Web端请求)

  4)过滤SQL需要的参数中的特殊字符。比如单引号、双引号。

声明:本站稿件版权均属千锋教育所有,未经许可不得擅自转载。

相关推荐

  • 电子邮件存在哪些安全性问题? 4)通过电子邮件传播的病毒通常用VBScript编写,且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后,病毒会查询他的通讯簿,给其上所有或部分人发信,并将自身放入附件中,以此方式继续传播扩散。
  • 常规加密密钥的分配有几种方案,请对比下它们的优缺点。 由-一个中心节点或者由一-组节 点组成层次结构负责密钥的产生并分配给通信的双方,在这种方式下,用户不需要保存大量的会话密钥,只需要保存同中心节点的加密密钥,用于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量大,同时需要较好的鉴别功能以鉴别中心节点和通信方。
  • 网络安全面试题5道 包过滤是一种安全机制,它控制哪些数据包可以进出网络,而哪些数据包应被网络拒绝。包过滤路由器是具有包过滤特性的一种路由器。在对包做出路由决定时,普通路由器只依据包的目的地址引导包,而包过滤路由器就必须依据路由器中的包过滤规则做出是否引导该包的决定。
  • 网络安全面试题4道 1、DDos 攻击原理及防御  答:客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认.没有彻底根治的办法,除非不使用TCP.
  • 什么是SQL注入攻击?如何防范? 攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
  • 你常用的渗透工具有哪些,最常用的是哪个? 你常用的渗透工具有哪些,最常用的是哪个? 答:burp:Burp Suite与Web浏览器配合使用,可发现给定APP的功能和安全问题,是发起定制攻击的基础。目前免费版本功能有限,但付费版本提供全面的网络爬取和扫描功能;多攻击点;基于范围的配置。它可用于自动化重复功能,提供APP与服务器互动的良好视图。