請問想從零開始研究SQL注入應該需要接觸哪些東西?

sql注入

阿誠 2022-02-05 10:51:05 ‧ 1910 瀏覽

分享至

各位高手安安，我需要預防SQL注入而不是當攻擊者
請問想從零開始研究SQL注入應該需要接觸哪些東西?和推薦的工具
越詳細越好或有網路文章或建議哪本書對我是最大的幫助
感恩

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Samuel

iT邦好手 1 級 ‧ 2022-02-05 12:39:15

挑好一種程式語言或是框架來去做相應理論與實務學習吧

畢竟每套程式語言後端搭配SQL 注入的處理機制都不一樣

舉例
光是.net C# 在DB Access相關套件處理
就有分成透過ado.net 參數化還有EF 的 ORM處理搭配Linq的處理

通常可以先掌握其中一套要跨到其他程式語言你有概念知道關鍵字搜尋也就快很多

Java 可能就會透過PreparedStatement

PHP 則可能使用PDOStatement::bindParam

回應 1
分享
檢舉

阿誠 iT邦新手 5 級 ‧ 2022-02-05 14:12:19 檢舉

高手謝謝你那我再補充一下我使用的是wordpress

登入發表回應

石頭

iT邦高手 1 級 ‧ 2022-02-05 13:58:55

這裡有一個網站提供許多網路攻擊手法和說明，可以依照指示做中學習

https://www.hacksplaining.com/lessons

其中包含 sql-injection

預防 injection 一般可以透過參數，底層就是幫你過濾敏感字元不讓敏感傳入造成 injection 風險，這也是為什麼大家會建議sql不要串字串要使用參數原因

回應 3
分享
檢舉

阿誠 iT邦新手 5 級 ‧ 2022-02-05 14:43:31 檢舉

我到了你說的這個網站後，請問我按步驟走到第11個卡住了到底密碼是輸入什麼才會下一步呢?

Ray iT邦大神 1 級 ‧ 2022-02-05 16:52:07 檢舉

畫面上不是寫得很清楚了, 你應該輸入:

' or 1=1--

總共十個字元:

輸入上面那十個字元之後, 會在程式內部引發 SQL Injection 現象, 後面不需要知道真正的密碼就可以登入

阿誠 iT邦新手 5 級 ‧ 2022-02-05 17:03:19 檢舉

了解感恩

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙