SQL注入与防护-YY1314520-51CTO博客

一、 Web漏洞

1. 漏洞产生的原理：
   SQL注入就是通过把SQL命令插入到WEB的表单中，提交它之后，将查血的语句传送到数据库，最终让数据库学习到一些恶意的命令。
2. 那些地方胡产生问题：一切输入的地方，与数据交互的地方。
   二、 注入分类：
3. 如何发现SQL注入：通过web漏洞扫描；在参数后面添加错误语句；大量的岁参数Fuzz测试；直觉。
4. 注入分类：
   a. 数字型注入；
   b. 字符型注入；
5. 注入提交的方式：
   GET POST COOKIE HTTP头部注入
6. 注入的方式：
   a. 基于报错注入
   b. 基于布尔的盲注
   c. 基于时间的盲注
   d. 联合查询
   e. 内联查询
   f. 堆叠的查询

三、 MySQL手工注入

1. 为什么要学习手工注入？
   工具sqlmp
   猜解字段；查看当前数据库；查询所有数据库；查询数据库中的表；查询表明中的所有字段
   四、 sqlmap学习使用
   五、 总结;
2. POST如何使用sqlmap注入
3. 如何防护SQL注入
   CDN隐藏真实IP地址；通过安全幻术进行过滤；对数据库最小权限设置；服务器针对性的WAF防火墙