楼主目前在校学生非计算机专业,最近面了学校网络中心一个岗位,面试老师让我做一个 Python 的网络安全项目,目前在用 SQL 搞,由于新手使用 SQL,想问下大佬,目前判断能不能注入漏洞还能用’或是 and 1=1 了吗?还有就是有没有其他替换 SQL 用别的办法的建议,谢谢各位。
1
BBge 2018-12-24 01:03:38 +08:00 via Android 1
上 sqlmap
|
2
yanaraika 2018-12-24 04:31:56 +08:00 via Android 1
prepare 或者用 orm
|
3
KgM4gLtF0shViDH3 2018-12-24 07:27:54 +08:00 via iPhone 1
把 sqlmap 学精了就好
|
4
wzw 2018-12-24 07:30:45 +08:00 via iPhone 1
是不是用 nosql 数据库就没注入问题了?
|
5
clino 2018-12-24 07:35:00 +08:00 via Android 1
研究下 orm 比如 sqlalchemy 是如何防止的是不是也能参考下?
|
6
jianzhao123 OP 谢谢大家,老师的意思大概是让我用 python 把链接爬下来,SQL 注入漏洞的不是关键问题,毕竟我非计算机专业(逃🙃🙃🙃)
|
7
co3site 2018-12-24 08:04:34 +08:00 via Android 1
不同的过滤规则,注入的形式就千奇百怪了,用好 sqlmap 就行了。又不是面试工作,随便做个子域名爆破、CMS 漏洞检测就好了
|
8
msg7086 2018-12-24 09:20:17 +08:00
第一条规则,不要把输入参数拼进 SQL 查询。
|
9
whoami9894 2018-12-24 09:40:10 +08:00 via Android
|