本文由“东塔网络安全学院”总结归纳
靶场介绍:
sql注入绕过云锁
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“sql注入绕过云锁”。
一、实验介绍
1.SQL介绍
SQL注入就是前端输入的位置是用户可控的,可以通过插入一些恶意的sql语句来传到后台加以执行,达到获取敏感信息的攻击目的
2.绕过方式
大小写绕过、内联绕过方式、双层标签绕过等等
二、实验目的
1.掌握SQL的注入原理和利用方式
2.了解SQL绕过安全狗的方式
3.掌握SQL的防御方法
三、实验步骤
1.打开实验环境
2.利用SQL的注入方式进行漏洞探测
四、防御方式
1.改成纯前端渲染,把代码和数据分隔开
2.对HTML做充分转义
3.使用预编译功能
4.mysql_real_escape_string()作为用户输入的包装器,就可以避免用户输入中的恶意sql注入