يدرس هذا المقال بشكل أساسي سؤالًا شائعًا نسبيًا في أسئلة مقابلة Java ، وقضايا الحكم على حقن SQL ومنعها. التفاصيل كما يلي.
حقن SQL هو طريقة الهجوم الأكثر شيوعًا للمتسللين في الوقت الحاضر. مبدأها هو استخدام قاعدة البيانات لتحليل معرفات خاصة لتمريرها بالقوة من الصفحة إلى الخلفية. قم بتغيير بنية عبارة SQL ، وتحقيق أذونات ممتدة ، وإنشاء مستخدمين رفيعي المستوى ، وتعديل معلومات المستخدم القسري ، وغيرها من العمليات.
من خلال مبدأ حقن SQL ، نعلم أن الحكم على البيانات التي يمكن تمرير حقن SQL عبر الصفحة ، يجب ألا تؤمن الخلفية بأي بيانات تم تمريرها من الخلفية ، وخاصة معلمات عدد صحيح خاص ومعلمات شخصية خاصة!
1. تحقق من نوع البيانات المتغير وتنسيقه
طالما أنه متغير في تنسيق ثابت ، قبل تنفيذ عبارة SQL ، يجب فحصه بدقة في التنسيق الثابت لضمان أن المتغير هو التنسيق الذي توقعناه!
2. تصفية الرموز الخاصة
بالنسبة للمتغيرات التي لا يمكن تحديدها بتنسيق ثابت ، يجب استخدام رموز خاصة لمعالجتها أو نقلها. هناك غموض في SQL.
عندما نقوم بتحميل الصور
enctype =/"multipart/form-data/" enctype = "multipart/form-data"
بدون "/" ، يعني enctype = "multipart/form-data" في النموذج تعيين ترميز MIME للنموذج. بشكل افتراضي ، فإن تنسيق الترميز هذا هو التطبيق/x-www-form-urlencoded ، والذي لا يمكن استخدامه لتحميل الملف ؛ فقط باستخدام multipart/form-data يمكن تمرير بيانات الملف بالكامل ويتم تنفيذ العمليات التالية.
3. ربط المتغيرات واستخدم العبارات المسبقة
في الواقع ، يعد استخدام العبارات المسبقة لربط المتغيرات هو أفضل طريقة لمنع حقن SQL ، ولن تتغير دلالات استخدام عبارات SQL المسبقة. في عبارات SQL ، استخدم علامة استفهام للمتغيرات؟ وهذا يعني أنه بغض النظر عن مدى قدرة المتسلل ، لا يمكنه تغيير تنسيق بيانات SQL ، ويمنع بشكل أساسي حدوث هجمات حقن SQL.
4. أمان تشفير معلومات قاعدة البيانات
في بعض الأحيان عندما يتم تسريب معلومات قاعدة البيانات ، يجب علينا تشفير كلمة مرور قاعدة البيانات والمعلومات الأخرى (MD5 ، وما إلى ذلك) ، بحيث يتم تسريب المعلومات ويمكن التحكم في الخسائر في نطاق معين.
1. لا تفتح بيئة الإنتاج لتلخيص عرض الخطأ لخادم الويب.
2. لا تؤمن أبدًا بالإدخال المتغير من جانب المستخدم. يجب فحص المتغيرات ذات التنسيقات الثابتة بدقة. تحتاج المتغيرات بدون تنسيقات ثابتة إلى إجراء التصفية اللازمة والهروب من الأحرف الخاصة مثل عروض الأسعار.
3. استخدم عبارات SQL المسبقة التي تربط المتغيرات
4. قم بعمل جيد في إدارة إذن حساب قاعدة البيانات
5. تشفير ومعالجة معلومات سرية المستخدم بدقة
يجب أن ينتبه البرنامج الجيد للسلامة ، وإلا فهو مناسب فقط للممارسة.
ما سبق هو كل محتوى هذه المقالة حول تحليل أسئلة مقابلة Java ومنع حقن SQL. آمل أن يكون ذلك مفيدًا للجميع. يمكن للأصدقاء المهتمين الاستمرار في الرجوع إلى الموضوعات الأخرى ذات الصلة على هذا الموقع. إذا كانت هناك أي أوجه قصور ، فيرجى ترك رسالة لإشارةها. شكرا لك يا أصدقائك لدعمكم لهذا الموقع!