互联网SQL注入!因为它的危害性很大,已经成为每个运维工程师在为客户部署业务系统之前必做的一道防线。问题是我们大部分客户的技术研究都不是很“深”,我们经常因为跟客户进行技术交流而抓狂!作为运维大侠,我们应该如何向非技术同学通俗易懂的解释SQL注入呢??SQL是结构化查询语言(StructuredQueryLanguage)的缩写,是一种用于访问数据和查询、更新和管理关系数据库系统的数据库查询和编程语言。说白了,它是一种工程师与数据库交流、交流的语言。SQL注入是在Web表单中插入SQL命令,提交或输入域名或页面请求的查询字符串,最终诱使服务器执行恶意的SQL命令。最常见的例子:我们在上网时经常会看到一些免费或超低价的各大视频网站的会员账号和密码。这些账号和密码是怎么来的呢?大部分是通过WEB表单提交查询字符??生成的。SQL注入的过程是如何实现的?举个形象的例子吧~有一天,你去银行代老板办理业务。你的老板给你一个信封,上面有收银员的说明。信件内容:在这张纸上写下账户A的余额。签名:老板在路上,你去洗手间的时候,把信封放在水槽上几分钟。期间,小偷拆开信封,上面加了一句:“同时,从A账户转500元到另一个B账户。”现在,这封信的内容是:在这张纸上记下A账户的余额。同时,从A账户转500元到另一个B账户。签字:老板柜员核对您的身份,确认您已获得相关账户的授权,并按照信中的说明进行操作。结果老板被“偷”了500元!在这个过程中:你的老板是合法的程序代码;你是将SQL代码传递给数据库的程序代码和数据库驱动程序;信件内容是传给数据库的SQL代码;小偷就是袭击者,俗称“黑客”;柜员就是数据库;标识通常是数据库登录名和密码。目前,SQL注入漏洞已经成为互联网上最常见的漏洞,影响非常广泛。如何避免此类问题?1、收银员在处理信件内容时,只处理账户和金额,转账动作不处理。2.检查数据类型和格式。收银员在处理信件内容时,会检查小偷添加内容的类型和格式是否符合规定。3.过滤特殊字符。收银员在处理信件内容“从123456账户转500元到另一个654321账户”时,翻译出现问题,即报错。
