Свой сайт по поиску работы #5: хэширование пароля, SQL инъекции, валидация данных из формы на PHP
#11 SQL-инъекции. Поиск и эксплуатация слепых SQL-инъекций.
Здравствуйте, дорогие друзья. Поговорим о слепой SQL-инъекции, и она относится к такому типу инъекций, который не показывает ошибки. Для примера я перешел в веб-приложение dvwa, на вкладку «SQL Injection»,...
Что такое SQL инъекции и как от них защищаться
SQL-инъекции - это атаки на веб-приложения, которые позволяют выполнить вредоносный SQL-код в базе данных приложения. Они могут произойти, когда приложение не проверяет или не экранирует входные данные, которые передаются в SQL-запросы. Например предположим, что веб-приложение имеет форму поиска по имени пользователя, которая выполняет следующий SQL-запрос: SELECT * FROM users WHERE username = '$username';
Если злоумышленник вводит следующее имя пользователя: ' OR 1=1;'
то итоговый SQL-запрос будет...