SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤,用户提交的数据可能会被用来构造访问后台数据库的SQL指令。
举一反三
- 对于SQL注入和XSS跨站,下列说法中不正确的是( ) A: SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行 B: XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入中注入的是SQL命令 C: XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格检查和有效过滤的缺陷 D: XSS攻击盗取 Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器
- XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。
- 数据库用于存储数据,并提供 SQL 给用户实现数据的查询与更新。
- SQL注入漏洞存在的前提是:______。 A: 程序员对sql查询的参数过滤不严格 B: 数据库使用了SA权限 C: 数据库采用localhost访问 D: SQL查询语句含有参数
- SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。关于防范SQL注入,以下描述中不正确的是() A: 防范SQL注入主要在于严密地验证用户输入的合法性 B: 为防范SQL注入可以对用户输入数据中的等号全部过滤掉 C: 为防范SQL注入可以使用验证器验证用户的输入 D: 为防范防范SQL注入可以利用参数化存储过程来访问数据库