首页 首页 大数据 查看内容

大白话解释SQL注入,DBA大牛装腔指南!

木马童年 2019-11-9 15:53 29 0

互联网的攻击形式千万种,威胁最大的独一份,就是SQL注入了!由于它的危害之大,它也成为了每一个运维工程师为客户部署业务系统前必做的防御。问题来了,对接我们的客户大多数技术钻研不是很”深刻“,我们经常因为跟 ...

互联网的攻击形式千万种,威胁最大的独一份,就是SQL注入了!由于它的危害之大,它也成为了每一个运维工程师为客户部署业务系统前必做的防御。

问题来了,对接我们的客户大多数技术钻研不是很”深刻“,我们经常因为跟客户的技术沟通而抓狂!作为运维侠的我们该如何向非技术同学通透白话的解释SQL注入呢?

大白话解释SQL注入,DBA大牛装腔指南!

SQL是结构化查询语言(Structured Query Language)的简称,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。说的直白一些,就是工程师与数据库进行沟通和交流的一种语言。

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

最常见的比如:我们上网经常会看到一些免费或者超低价格的各大视频网站的会员账户和密码,这些账户和密码怎么来的呢?大部分都是通过WEB表单递交查询字符暴出来的。

SQL注入式攻击得到的!

大白话解释SQL注入,DBA大牛装腔指南!

SQL注入的过程是怎样实现的呢?

我们来举个形象的例子~

一天,你代表你的老板去银行办理业务。你的老板给了你一个信封,上面写着收银员的指示。

信件内容:

在这张纸上写下A号账户的余额。

签名:Boss

在途中,你去洗手间的时候,顺手把信封放在洗手台几分钟。期间,一个小偷打开信封,在上面加上一些内容:“同时将500元从A号账户转到另一个B账户。”

现在,信件内容是:

在这张纸上写下A号账户的余额。同时将500元从A号账户转到另一个B账户。

签名:Boss

出纳员检查你的身份,确认你是相关账户的授权人员,便按照信函中的说明进行操作。

结果Boss被“偷了”500元!

在这个过程中:

  • 你的老板是合法的程序代码;

  • 你是将SQL代码传递到数据库的程序代码和数据库驱动程序;

  • 信函内容是传递给数据库的SQL代码;

  • 小偷是袭击者,俗称“黑客”;

  • 出纳员是数据库;

  • 身份标识通常是数据库的登录名和密码。

大白话解释SQL注入,DBA大牛装腔指南!

目前,SQL 注入漏洞已成为互联网最常见也是影响非常广泛的漏洞,如何避免这样的问题发生呢?

1. 采用预编译语句集

出纳员在处理信函内容的时候,只处理账户和金额,对转账动作不处理。

2. 检查数据类型和格式

出纳员在处理信函内容的时候,会去查验小偷添加内容的类型和格式,是否符合规定。

3. 过滤特殊字符

出纳员在处理信函内容“将500元从123456号账户转到另一个654321账户”的时候,转译出现问题,即报错。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

互联网 工程师 数据库 SQL
0
为您推荐
大数据技术改变城市的运作方式,智慧城市呼之欲出

大数据技术改变城市的运作方式,智慧城市呼

纽奥良虽像大多数城市一样有火灾侦测器安装计划,但直到最近还是要由市民主动申装。纽…...

大数据分析面临生死边缘,未来之路怎么走?

大数据分析面临生死边缘,未来之路怎么走?

大数据分析开始朝着营销落地,尤其像数果智能这类服务于企业的大数据分析供应商,不仅…...

什么是工业大数据,要通过3B和3C来理解?

什么是工业大数据,要通过3B和3C来理解?

核心提示:工业视角的转变如果说前三次工业革命分别从机械化、规模化、标准化、和自动…...

大数据普及为什么说肥了芯片厂商?

大数据普及为什么说肥了芯片厂商?

科技界默默无闻的存在,芯片行业年规模增长到了3520亿美元。半导体给无人驾驶汽车带来…...

大数据技术有哪些,为什么说云计算能力是大数据的根本!

大数据技术有哪些,为什么说云计算能力是大

历史规律告诉我们,任何一次大型技术革命,早期人们总是高估它的影响,会有一轮一轮的…...

个人征信牌照推迟落地,大数据 重新定义个人信用!!

个人征信牌照推迟落地,大数据 重新定义个

为金融学的基础正日益坚实。通过互联网大数据精准记录海量个人行为,进而形成分析结论…...