0
Возможные Дубликаты:
XKCD sql injection - please explain
What is SQL injection?Что такое SQL-инъекция?
Я видел термин "инъекция SQL", но до сих пор не понимаю. Что это?
A
ответ
1
SQL Injection - это то, где злоумышленник может манипулировать данными, которые они отправляют вам, таким образом, что ваша программа должна использовать некоторые из них в качестве команд SQL.
Для примера можно посетить here
1
При создании запроса SQL обычно содержат все вроде битов и фрагментов, некоторые из которых поступают из пользовательского ввода. Например, если у вас есть приложение «Поисковая книга» в вашем приложении, тогда имя книги является строкой, исходящей от пользователя.
Умные, злые пользователи могут манипулировать входами, которые они отправляют в ваше приложение, так что SQL-запрос, построенный с этого входа, будет вреден.
Так что, если вы строите свой запрос так:
String q = "Select * from books where name='" + bookName + "'"
Затем хакер может найти книгу под названием "x'; delete from books where name like '%"
Конечным результатом будет то, что следующий запрос будет выполнен: Select * from books where name='x'; delete from books where name like '%'
Это удалит все записи таблицы книг. Стандартный способ избежать этого - всегда использовать подготовленные инструкции при построении запросов, включающих предоставленные пользователем части.
+0
Ваш пример объясняет мне концепцию sql-инъекции. thanx – ruchi
6
SQL-инъекция - это то, где кто-то вставляет что-то вредоносное в один из ваших SQL-запросов.
Давайте предположим, что у вас есть SQL запрос следующим образом:
select * from people where name = '<name>' and password = '<password>'
Теперь давайте предположим, что <name> и <password> заменяются типами что-то кто-то на вашем сайте. Если кто-то напечатал это в качестве пароля ...
' or '' = '
... то результирующий запрос будет:
select * from people where name = 'someone' and password = '' or '' = ''
... который был явно не ваши намерения. Вы можете узнать больше об этом here.
+0
ваше предложение мне очень поможет. thanx очень ...... – ruchi
Смежные вопросы
- 1. Что такое "?" делать? Что такое __FILE__?
- 2. Что такое трансформация и что такое Transform?
- 3. Что такое структура разработки? Что такое IDE?
- 4. Что такое PHPCI - что такое сборка?
- 5. Что такое скрипка и что такое DL?
- 6. Что такое Dim, что такое Факт?
- 7. Что такое поток? Что такое `initialize`?
- 8. Что такое сжатие, что
- 9. Что такое "??"
- 10. Что такое.
- 11. Что такое большие графики? Что такое анализ больших графов? Что такое большие данные? Что такое большой анализ данных?
- 12. Что такое «Нарисовать что-то»?
- 13. Что такое мыло в пурпуре? что это такое? Что такое использование мыла/xml-RPC-пользователя?
- 14. Что такое последовательная запись и что такое случайная запись
- 15. Что такое синтаксис и что такое использование @ в javascript?
- 16. Google AMP: что такое макет? Что такое контейнер?
- 17. Что такое метод обновления MessageDigest и что такое BASE64Encoder?
- 18. Что такое весенние бобы, что такое использование бобов
- 19. Что такое пулы PHP-FPM и что такое pm.max_children?
- 20. Терминология: что такое маска и что такое флаг
- 21. Что такое угловой 2 Непрозрачный токен и что такое точка?
- 22. Что такое бизнес-объекты и что такое бизнес-логика?
- 23. Что такое temp и что такое использование temp в java?
- 24. Что такое autovalue.shaded или что такое затененная банка?
- 25. Что такое заголовок? В частности, что такое POST @ GET заголовки?
- 26. Что такое структура? И что такое Учение 2?
- 27. Что такое un/managed DLL? Что такое un/управляемый код?
- 28. Что такое preemption/Что такое preemtible ядро? Для чего это?
- 29. Что такое CGI и что такое CGI-скрипты?
- 30. Что такое .NET-архитектура и что такое .NET framework?
обязательна ссылка XKCD: http://xkcd.com/327/ – cobbal
Дубликат многие, многие SO вопросов, в том числе: http://stackoverflow.com/questions/332365/xkcd-sql-injection-please-explain –
Возможный дубликат? – Zombies