99999久久久久久亚洲,欧美人与禽猛交狂配,高清日韩av在线影院,一个人在线高清免费观看,啦啦啦在线视频免费观看www

熱線電話(huà)：13121318867

登錄

朝陽(yáng)Tim

2019-02-23 閱讀量: 911

mysql利用or運(yùn)算級(jí)較低的邏輯進(jìn)行注入攻擊？

問(wèn)題描述：

最極端簡(jiǎn)單的數(shù)據(jù)庫(kù)查詢(xún)邏輯下，例如where賬號(hào)和密碼和數(shù)據(jù)庫(kù)中一致，即可查詢(xún)出數(shù)據(jù)，這樣的查詢(xún)邏輯會(huì)有什么Bug?

思路拓展：

select * from user 
  where username='aaa' and userpwd='xxx';

select * from user 
  where username='aaa' and userpwd='xxx' or 1='1';

在這里的運(yùn)算邏輯，就是or的運(yùn)算層級(jí)比較低，會(huì)在前面（username='aaa' and userpwd='xxx'）執(zhí)行完，且報(bào)錯(cuò)的情況下，再去運(yùn)行or 1='1'，從而查取出user表中的所有數(shù)據(jù)
那么如何防止這樣的注入攻擊呢？