注射位置包括表單提交，主要是POST請(qǐng)求，還有GET請(qǐng)求 。URL參數(shù)提交，主要是GET請(qǐng)求參數(shù) 。Cookie參數(shù)的提交 。HTTP請(qǐng)求標(biāo)頭中的一些可修改值，例如Referer，User_Agent等 。一些邊緣輸入點(diǎn)，例如.mp3文件的某些文件信息 。sql注入的危害SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫(kù)級(jí)別，而且還可能危及托管數(shù)據(jù)庫(kù)的操作系統(tǒng) 。如果將SQL注入用于掛馬，還可能用來(lái)傳播惡意軟件等，這些危害包括但不局限于：
數(shù)據(jù)庫(kù)信息泄漏：泄漏用戶存儲(chǔ)在數(shù)據(jù)庫(kù)中的私人信息 。作為數(shù)據(jù)存儲(chǔ)中心，各種類(lèi)型的私人信息通常存儲(chǔ)在數(shù)據(jù)庫(kù)中 。SQL注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者 。篡改網(wǎng)頁(yè)：通過(guò)操作數(shù)據(jù)庫(kù)來(lái)篡改特定網(wǎng)頁(yè) 。網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫(kù)一些字段的值，嵌入網(wǎng)馬鏈接，進(jìn)行掛馬攻擊 。數(shù)據(jù)庫(kù)被惡意操作：數(shù)據(jù)庫(kù)服務(wù)器受到攻擊，數(shù)據(jù)庫(kù)系統(tǒng)管理員帳戶被篡改 。服務(wù)器受遠(yuǎn)程控制，并安裝了后門(mén) 。經(jīng)由數(shù)據(jù)庫(kù)服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng) 。破壞硬盤(pán)數(shù)據(jù)并使整個(gè)系統(tǒng)癱瘓 。如何解決SQL注入解決SQL注入問(wèn)題的關(guān)鍵是嚴(yán)格檢查可能來(lái)自用戶輸入的所有數(shù)據(jù)，并使用最小特權(quán)原則進(jìn)行數(shù)據(jù)庫(kù)配置 。常用的方案有：
所有查詢語(yǔ)句都使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口，并且參數(shù)化語(yǔ)句使用參數(shù)，而不是將用戶輸入變量嵌入SQL語(yǔ)句中 。幾乎所有當(dāng)前的數(shù)據(jù)庫(kù)系統(tǒng)都提供參數(shù)化的SQL語(yǔ)句執(zhí)行接口 。使用此接口可以有效地防止SQL注入攻擊 。String sql=”SELECT * FROM user WHERE username=? AND password=?”; //使用?代替參數(shù)，預(yù)先設(shè)置好sql格式，就算在輸入sql關(guān)鍵字也不會(huì)被sql識(shí)別PreparedStatement pstat=conn.prepareStatement(sql);pstat.setString(1,username); //設(shè)置問(wèn)號(hào)的值pstat.setString(2,password);pstat.executeQuery();對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（’”<>&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換 。確認(rèn)每個(gè)數(shù)據(jù)的類(lèi)型 。例如，數(shù)字?jǐn)?shù)據(jù)必須是數(shù)字，并且數(shù)據(jù)庫(kù)中的存儲(chǔ)字段必須與int類(lèi)型相對(duì)應(yīng) 。應(yīng)嚴(yán)格規(guī)定數(shù)據(jù)長(zhǎng)度，以防在一定程度上正確執(zhí)行較長(zhǎng)的SQL注入語(yǔ)句 。網(wǎng)站每個(gè)數(shù)據(jù)層的編碼是統(tǒng)一的 。建議使用UTF-8編碼 。上下層編碼不一致可能會(huì)導(dǎo)致某些過(guò)濾模型被繞過(guò) 。嚴(yán)格限制網(wǎng)站用戶數(shù)據(jù)庫(kù)的操作權(quán)限，并向該用戶提供只能滿足其工作要求的權(quán)限，從而最大程度地減少了注入攻擊對(duì)數(shù)據(jù)庫(kù)的危害 。阻止網(wǎng)站顯示SQL錯(cuò)誤消息，例如類(lèi)型錯(cuò)誤，字段不匹配等，以防止攻擊者使用這些錯(cuò)誤消息進(jìn)行判斷 。在網(wǎng)站發(fā)布之前，建議使用一些專(zhuān)業(yè)的SQL注入檢測(cè)工具來(lái)及時(shí)檢測(cè)和修補(bǔ)這些SQL注入漏洞 。10.NULL和空串判斷?MySQL 中的空值包含 NULL 和空字符串 。當(dāng)匹配 NULL 值條件時(shí)，使用 IS NULL 和 IS NOT NULL，當(dāng)匹配空字符串時(shí)，使用“=”“<>”“!=” 。
本文使用一張名為 t_goods 的數(shù)據(jù)表，該表用來(lái)記錄商品信息，它的記錄如下：
+----+---------------+-----------------+-------------+---------+---------+---------------------+| id | t_category_id | t_category| t_name| t_price | t_stock | t_upper_time|+----+---------------+-----------------+-------------+---------+---------+---------------------+| 1|1| 女裝/女士精品| T恤| 39.90| 1000|2020-11-1000:00:00 || 2|1| 女裝/女士精品| 連衣裙| 79.90| 2500|2020-11-1000:00:00 || 3|1| 女裝/女士精品| 衛(wèi)衣| 79.90| 1500|2020-11-1000:00:00 || 4|1| 女裝/女士精品| 牛仔褲| 89.90| 3500|2020-11-1000:00:00 || 5|1| 女裝/女士精品| 百褶裙| 29.90|500|2020-11-1000:00:00 || 6|1| 女裝/女士精品| 呢絨外套| 399.90| 1200|2020-11-1000:00:00 || 7|2| 戶外運(yùn)動(dòng)| 自行車(chē)| 399.90| 1000|2020-11-1000:00:00 || 8|2| 戶外運(yùn)動(dòng)| 山地自行車(chē) |1399.90| 2500|2020-11-1000:00:00 || 9|2| 戶外運(yùn)動(dòng)| 登山杖| 59.90| 1500|2020-11-1000:00:00 ||10|2| 戶外運(yùn)動(dòng)| 騎行裝備| 399.90| 3500|2020-11-1000:00:00 ||11|2| 戶外運(yùn)動(dòng)| 戶外運(yùn)動(dòng)外套| 799.90|500|2020-11-1000:00:00 ||12|2| 戶外運(yùn)動(dòng)| 滑板| 499.90| 1200|2020-11-1000:00:00 |+----+---------------+-----------------+-------------+---------+---------+---------------------+向 t_goods 數(shù)據(jù)表中插入兩條名稱(chēng)為空字符串，上架時(shí)間為 NULL 的數(shù)據(jù)記錄 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問(wèn)題，請(qǐng)您及時(shí)就醫(yī)或請(qǐng)專(zhuān)業(yè)人士給予相關(guān)指導(dǎo)!

• 武漢長(zhǎng)江大橋漢陽(yáng)橋頭電梯開(kāi)了嗎2021
• 成都有山姆超市嗎
• 2021拼搏勵(lì)志語(yǔ)錄(關(guān)于2021拼搏勵(lì)志語(yǔ)錄
• 京東2021雙十一活動(dòng)幾號(hào)開(kāi)始幾號(hào)結(jié)束
• 2021肯德基萬(wàn)圣節(jié)海綿寶寶玩具有幾款
• 2021年春分是幾月幾日 春分是立春?jiǎn)?
• 2021年全國(guó)取消禁摩令 摩托車(chē)京a牌照多少錢(qián)
• 健身教練證怎么考 樂(lè)刻健身教練培訓(xùn)多少錢(qián)
• 2021單人玩職業(yè)推薦 暗黑3攻略心得
• 考試成績(jī)猜一個(gè)數(shù)學(xué)名詞 成績(jī)是多少打一數(shù)字