SQLインジェクションとは何ですか?
多くの Web サイト プログラムが作成される場合、ユーザー入力データの合法性が判断されず、アプリケーションにセキュリティ リスクが発生します。ユーザーはデータベース クエリ コード (通常はブラウザのアドレス バーで、通常の www ポート経由でアクセス) を送信し、プログラムから返された結果に基づいて知りたい特定のデータを取得できます。これがいわゆる SQL インジェクションです。つまり、SQL インジェクションです。
Webサイトの悪夢 - SQLインジェクション
SQLインジェクションは、Webページを通じてWebサイトのデータベースを変更します。管理者権限を持つユーザーをデータベースに直接追加できるため、最終的にはシステム管理者権限を取得できます。ハッカーは取得した管理者権限を利用して、Web サイト上のファイルを恣意的に取得したり、Web ページにトロイの木馬やさまざまな悪意のあるプログラムを追加したりして、Web サイトや Web サイトを訪問するネットユーザーに多大な損害を与える可能性があります。
SQL インジェクションを防ぐ素晴らしい方法があります
ステップ 1: 多くの初心者は、SQL ユニバーサル アンチインジェクション システム プログラムをインターネットからダウンロードし、他の人が手動インジェクション テストを実行できないように、インジェクションを防止する必要があるページのヘッダーで使用します。 (図1)。
図1
しかし、SQLインジェクションアナライザーを使えば、アンチインジェクションシステムを簡単にスキップして、そのインジェクションポイントを自動的に分析することができます(図2)。その後、管理者アカウントとパスワードが分析されるまでに数分しかかかりません (図 3)。
図2
図3
ステップ2:インジェクションアナライザーの予防について、著者は実験を通じて簡単で効果的な予防方法を発見しました。まず、SQL インジェクション アナライザーがどのように機能するかを知る必要があります。操作中に、ソフトウェアが「admin」管理者アカウントではなく、権限 (flag=1 など) に指示されていることがわかりました。このように、管理者アカウントがどのように変更されても、検出を逃れることはできません。
ステップ 3: 検出を逃れることはできないため、2 つのアカウントを作成します。1 つは通常の管理者アカウント、もう 1 つはインジェクションを防ぐためのアカウントです。著者は、虚偽の印象を作成し、ソフトウェアによる検出を誘導する最高の権限を持つアカウントを見つけ、そのアカウントのコンテンツが 1,000 文字を超える漢字である場合、ソフトウェアが強制的にフルロード状態になり、このアカウントを分析するときにもリソースを使用してください。次にデータベースを変更しましょう。
1. テーブル構造を変更します。管理者のアカウントフィールドのデータタイプを変更し、テキストタイプを最大フィールドの255に変更し(実際にはこれで十分ですが、より大きくしたい場合はメモタイプを選択できます)、パスワードフィールドを同じに設定します方法。
2. テーブルを修正します。 ID1に管理者権限のあるアカウントを設定し、漢字を多め(できれば100文字以上)入力してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
