1.应用层防御的目标
1.SQL注入的本质原因是应用层的问题 2.SQL注入应用层防御的目标是修复SQL所有可能的漏洞,做好事前的防范#### 2.过滤SQL注入基本字符 ‘ or “ 字符串闭合 — or # 单行注释 /…/ 多行注释
- 加号,url中替代空格拼接字符
concat 字符拼接
% 通配符
?Param1=foo&Param2=bar url参数
select url打印常量等
@variable 本地变量
@@variable 全局变量
Sleep 10 睡眠10秒#### 3.过滤SQL关键字(保留字)
Figure : image-20211124182037199#### 4.URL传参的整体加密 1.原URL:https://61.206.45.132/corp/tokusyu.php?mid=1&tksid=473
2.整体加密处理: https://61.206.45.132/corp/tokusyu.php?action=XNNAKUIQLNZHRE14DAFEWQ