SQL注入攻击与防御2.pptVIP

SQL注入攻击与防御 SQL注入 SQL注入 这是一个Access数据库 SQL注入 静态网页： html或者htm，是一种静态的页面格式，不需要服务器解析其中的脚本。由浏览器如(IE、Chrome等)解析。 1.不依赖数据库 2.灵活性差，制作、更新、维护麻烦 3.交互性交差，在功能方面有较大的限制 4.安全，不存在SQL注入漏洞 动态网页： asp、aspx、php、jsp等，由相应的脚本引擎来解释执行，根据指令生成静态网页。 1.依赖数据库 2.灵活性好，维护简便 3.交互性好，功能强大 4.存在安全风险，可能存在SQL注入漏洞 SQL注入 SQL注入 SQL注入 如何判断？ 1.单引号判断 2.数字型注入判断 ①and 1=1 and 1=2 and 1 is null and 1 is not null and user0 ②参数进行运算 +1 -1 +→%2B 3.字符型注入判断 ① and 1=1 and 1=2 4.搜索型注入判断 ①test% and 1=1 and %= test% and 1=2 and %= SQL注入 如何攻击？ Access → 盲注 and exists(select