什么是sql注入攻击?
就是在对用户的输入的数据没有进行很好的处理,从而导致输入变成了sql语句的一部分了,正常来说用户输入的数据只是参数,但是不是的
举个例子吧
比如在登录的时候,用户名是fjg,密码是123456,但是黑客了,不知道密码,但是知道你sql的相关处理的不好,黑客这样操作?
Hacker(黑客)在用户名输入fjg,重点是密码输入:123456 or 1=1, 这样无论密码是否正确,那么hacker都是可以进入系统,因为这样的sql查询变成了 select * from user where username=fjg and password=123456 or 1=1, 1=1作为一个语句而不是参数哦,这样无论密码是什么,那么hacker都可以登录了,随后可能会发生hacker对数据进行删除或者篡改或者数据盗取,这样特别严重,数据是非常值钱的,这个我在之前的博客说明白了
那么该如何应对了?
1.参数化查询
用户输入的数据都作为参数处理,而不是语句
2.用户权限最小化:
对于数据库的用户只拥有最小的权限
3.使用orm框架
比如使用MyBatis或者MybatisPlus,框架会辅助你写出高质量的代码
4.输入验证和过滤:
对于用户输入的数据进行严格的验证和过滤,不合格的数据不进行处理
5.错误信息掩盖:
对于数据库发生的错误信息,必须要放在日志,而不是给用户,这样Hacker看到了有麻烦了,所以具体的错误信息写在日志里面,对日志进行加密
6.定期修复:
定期修复系统或者数据库的漏洞