mysql利用or运算级较低的逻辑进行注入攻击？

2019-02-23 阅读量: 688

Mysql

扫码加入数据分析学习群

问题描述：

最极端简单的数据库查询逻辑下，例如where账号和密码和数据库中一致，即可查询出数据，这样的查询逻辑会有什么Bug?

思路拓展：

select * from user 
  where username='aaa' and userpwd='xxx';

select * from user 
  where username='aaa' and userpwd='xxx' or 1='1';

在这里的运算逻辑，就是or的运算层级比较低，会在前面（username='aaa' and userpwd='xxx'）执行完，且报错的情况下，再去运行or 1='1'，从而查取出user表中的所有数据
那么如何防止这样的注入攻击呢？

添加CDA认证专家【维克多阿涛】，微信号：【cdashijiazhuang】，提供数据分析指导及CDA考试秘籍。已助千人通过CDA数字化人才认证。欢迎交流，共同成长！

0.0000 0 4 踩关注作者收藏

暂无数据

评论(0)