眉山網(wǎng)頁(yè)設(shè)計(jì)公司制作SQL語(yǔ)言中包含許多可能出現(xiàn)在語(yǔ)句開頭的動(dòng)詞。由于SELECT是最常用的的動(dòng)詞,因此絕大多數(shù)的SQL注入漏洞出現(xiàn)在這種語(yǔ)句中。一個(gè)遠(yuǎn)程的應(yīng)用程序交互時(shí),通常情況下不可能提前知道用戶輸入的一個(gè)特殊數(shù)據(jù)項(xiàng)將由哪種類型的語(yǔ)句處理。但是,可以根據(jù)使用的應(yīng)用程序功能進(jìn)行合理的猜測(cè)。
下面介紹常用的SQL語(yǔ)句及其用法。1.SELECT語(yǔ)句
SELECT語(yǔ)句被用于從數(shù)據(jù)庫(kù)中獲取信息,它們常用于應(yīng)用程序響應(yīng)操作而返回信息的功能中,例如瀏覽一個(gè)產(chǎn)品目錄、查看一個(gè)用戶的資料或進(jìn)行一項(xiàng)搜索。根據(jù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)核對(duì)用戶提交的信息的登錄功能也經(jīng)常使用這些語(yǔ)句。
2.INSERT語(yǔ)句。
INSERT語(yǔ)句用于在表中建立一個(gè)新的數(shù)據(jù)行,應(yīng)用程序通常使用這種語(yǔ)句添加一條新的審計(jì)日志、創(chuàng)建一個(gè)新用戶賬戶或生產(chǎn)一個(gè)新訂單。
有時(shí),攻擊者完全盲目地注入一個(gè)INSERT語(yǔ)句也能夠從應(yīng)用程序提取字符串?dāng)?shù)據(jù)。例如攻擊者可以攔截?cái)?shù)據(jù)庫(kù)版本字符串,并把它摻入自己用戶資料的一個(gè)字段中;正常情況下‘瀏覽器將顯示數(shù)據(jù)庫(kù)的版本信息。
3.UPDATE語(yǔ)句
UPDATE語(yǔ)句用于修改表中的一行或幾行數(shù)據(jù)。它們經(jīng)常在用戶修改已有數(shù)據(jù)值的功能中,例如更新聯(lián)系信息、修改密碼或更改訂單數(shù)量。
典型UPDATE語(yǔ)句的允許機(jī)制與TNSERT語(yǔ)句類似,只是UPDATE語(yǔ)句中通常包含一個(gè)WHWRE子句,告訴數(shù)據(jù)庫(kù)更新表中哪些行的數(shù)據(jù)。例如,當(dāng)用戶修改密碼時(shí),應(yīng)用下橫線可能會(huì)執(zhí)行似下查詢:
UPDATE users SET password='newsecret' WHERE user='macus'and password='secret'
4.DELETE語(yǔ)句
DELETE語(yǔ)句用于刪除表中一行或幾行數(shù)據(jù),例如用戶從他們的購(gòu)物籃中刪除一件商品或從個(gè)人資料中刪除一個(gè)交貨地址。
與DELETE語(yǔ)句一樣,DELETE語(yǔ)句通常使用WHERE子句告訴數(shù)據(jù)庫(kù)更新表中哪些行的數(shù)據(jù),并很可能在這個(gè)子句中并入用戶提交的數(shù)據(jù)。破壞正常運(yùn)行的WHERE子句可能會(huì)造成嚴(yán)重的后果。我們?cè)贒ELETE語(yǔ)句部分提出警告同樣適用于這種攻擊。
網(wǎng)站欄目:深圳建站公司SQL語(yǔ)句及其用法
網(wǎng)站網(wǎng)址:http://m.rwnh.cn/news28/168178.html
網(wǎng)站建設(shè)、網(wǎng)絡(luò)推廣公司-創(chuàng)新互聯(lián),是專注品牌與效果的網(wǎng)站制作,網(wǎng)絡(luò)營(yíng)銷seo公司;服務(wù)項(xiàng)目有建站公司等
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)