用户投稿这个问题描述了常见的SQL注入场景,该场景採用了像1 = 1这样的所谓“身份方程式”。攻击者可以输入SQL表达式来利用开发不良的后端程序的漏洞。SELECT是数据操作语言(DML)的关键字,是身份验证过程中最常用的一种。
反射跨站点脚本(XSS)是XSS攻击的一种类型,但它不会从网络服务器下载恶意代码/ javascript,而是提交HTTP请求,其中URL包含恶意代码,然后该恶意代码又被摆回到浏览器中。XSS通常使用恶意JavaScript,而不是SQL语句。
身份方程式作为SQL表达式
-攻击者将身份方程式输入为SQL表达式(来源:Guru99)
后端程序开发欠佳
-后端程序开发不完善(来源:Guru99)
SQL命令的类型
-SQL命令的类型(来源:geeksforgeeks)
参考
.反映的XSS
.SQL注入教程:学习示例
资料来源: Wentz Wu QOTD-20210306
微信扫一扫打赏
支付宝扫一扫打赏
