1、sql注入一般都是发生在含有表单的页面,因为这是用户输入的数据能够到达数据库的地方,要是不知道表单是什么,看看下图:
2、我们首先在数据库中添加了,用户名:admin,密码:123456,测试登陆成功
3、sql注入一般是添加特殊符号,改变原有的衡痕贤伎sql,使其sql语句发生改变;原来的语句一般为:select * from user wher髫潋啜缅e username='admin' and password='123456',改变之后:select * from user where username='admin' and password='' or '1'=1;根据sql查询规则,这两条语句查询结果是一样的,故,登陆成功。
4、接下来就介绍一下怎么防止sql注入了。有两个方法,一种是在后台写一个方法,对表单的数据进行过滤,过滤掉危险字符:
5、另一种是用这种方法进行查询,先写一条sql,后加参数进行查询
6、用sql注入进行测试,结果如下:
7、怎么样,都学会了,是不是很简单。
