注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 6596|回复: 0

[技术文章] SQL黑客注入攻击与防御之理解Web应用的工作原理

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45282
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   583 小时
   最后登录
   2020-3-30
发表于 2020-3-19 23:05:48 | 显示全部楼层 |阅读模式
   大多数人在日常生活中都会用到Web应用。有时是作为假期生活的一部分,有时是为了访问E-mail、预定假期、从在线商店购买商品或是查看感兴趣的新闻消息等。Web应用的形式有很多种。不管是用何种语言编写的Web应用,有一点是相同的:它们都具有交互性并且多半是数据库驱动的。在互联网中,数据库驱动的Web应用非常普遍。它们通常部包含一个后台数据库和很多Web页面,这些页面中包含了使用某种编程语言编写的服务器端脚本,而这些脚本则能够根据Web页面与用户的交互从数据库中提取特定的信息。电子商务足数据库驱动的Wcb应用的最常见形式之一。电子商务应用的很多信息,如产品信息、库存水平、价格、邮资、包黻成本等均保存在数据库中。如果读者曾经从电子零售商那里在线购买过商品和产品,那么应该不会对这种类型的应用感到陌生。数据库驱动的Web应用通常包含三层:表示层(Web浏览器或呈现弓I擎)、逻辑层(如C薛、ASP、.NET、PHP、JSP等编程语言)和存储层(如Microsofi SQLServer、MySQL、Oracle等数据库)。Web浏览器(表示层,如Intemet Explorer、Safari、Firefox等)向中间层(逻辑层)发送请求,中间层通过查询、更新数据库(存储层)来响应该请求。
    下面看一个在线零售商店的例子。该在线商店提供了一个搜索表单,顾客可以按特定的兴趣对商品进行过滤、分类。另外,它还提供了对所显示商品作进一步筛选的选项,以满足顾客在经济上的预算需求。可以使用下列URL查看商店中所有价格低于$100的商品:
.      http :"www.victjm.conVproducts.php7 val-1 00
下列PHP脚本说明了如何将用户输入(val)传递给动态创建的SQL语句。当请求上述URL
将会执行下列PHP代码段:
// connec匕 to the database
$conn  -  mys ql_connect { nlocalhostn,¨username" r "paasword" ) ;
([ dynamically build the Sql statemerit with the input
$query -. "SELBCT * FROM Products WHERE Price <  ' $_GET[ 'vii"] '
                ~~ORDER   BY    Prociu c t Descriptionn .
rr execute the query agalnsL the da七abase
$ re sult  -  my:sql_que ry{卑query} i
/{ iterate through the工ecord set
while (#row  -  mysql_fetch_array ( 4 resuit ,   MYSQL_AS SOC》
{
     // display the results to the browser
echo  "Description  :   f $row [ ' Pro{iuctDesc工iption ' ] }  <br>"
    "Product  ID   :   I $row t ' ProductID' ] ]   <br>"   .
    nPrice  :   {$sow [ ' Price ' l l  <br><br>n.

    接下来的代码示例更清晰地说明了PHP脚本构造并执行的SQL语句。该语句返回数据库中所有价格低于$100的商品,之后在Web浏览器上显示并呈现这些商品以方便顾客在预算范围内继续购物.
SELECT ~r
F'ROM Products
WHERE  Price  <  100. 00 .
ORDER BY ProductDescription;
一般来说,所有可交互的数据库驱动的Web应用均以相同的(至少是类似的)方式运行。



发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表