{eval=Array;=+count(Array);}

问答专栏Q & A COLUMN

现在SQL注入死透了吗?

summerpxysummerpxy 回答0 收藏1
问题描述:隐约记得13年就有人说sql注入已死。然而直到19年网上还有大批sql注入的教程。所以我在想,是sql注入已经从原理上被根绝了。还是说只是基础的手段失效了,只要构造更加精妙的语句还是可以注入?
收藏问题

6条回答

warkiz

warkiz

回答于2022-06-28 13:41

可以说基本上死透了,现在除非那种笨蛋程序员谁还会用手动拼接SQL语句的方式呢?都是框架自动生成,而框架层面,基本上杜绝了SQL注入的可能性。


必须要承认一点,技术在不断地发展。当年用C++语言动不动就忘了释放指针,内存泄漏。于是有了后面Java等一大票带GC的语言,你放心用,碰到忘了释放的我帮你找出来释放。现在也是一样的,各种框架早就替你想好了SQL注入问题,它们把类库做得越来越好用,甚至很多类库已经是傻瓜式调用,目的就是为了让程序员们用的爽,彻底根除SQ注入问题。


当然,社会工程学是永远也逃避不开的问题。就算世界上所有类库都解决了SQL注入问题,也还是避免不了有人用123456做密码。所以搞渗透的也不要老是纠结于SQL注入这个层面,从更高处思考问题,才能更好的解决问题。

评论0 赞同0
  •  加载中...
DobbyKim

DobbyKim

回答于2022-06-28 13:41

sql注入基本已经不可能再实现攻击了,除了小白写的代码。现在大家都对SQL注入这个东东有了深入了解,各种框架已限制了这种攻击方式,前些年,SQL注入都已经吃不开了。

评论0 赞同0
  •  加载中...
Kosmos

Kosmos

回答于2022-06-28 13:41

还是我来一锤定音的回答你吧,首先说结果:SQL注入会存在,且会一直存在。

只要你用拼接方式写SQL语句,这种问题就像鬼魅一样缠着你。虽然我们对开发人员喉咙都喊破了,SQL必须参数化,但仍有人为了偷那几行代码的懒,抱着侥幸心理而使用拼接方式构造SQL语句。

黑客根本不会因为你的网站规模,或者你网站知名度而决定是否黑你,黑客也在与时俱进,基本都是全网智能扫描,甚至比百度爬虫还智能,互联网的网站旮旯拐角都能触及。一但扫到了漏洞,基本都是全自动匹配漏洞进行进一步入侵。以得到你网站后台密码,上传木马为分尸前的目标。得到服务器密码后,给你网站挂恶意广告、钓鱼代码、给服务器装恶意软件、挖矿软件等等,这是另外分尸人员的业务,和黑客无关此处不赘述。

现在说说为啥现在感觉SQL注入少了,这个错觉主要有两部分原因。

1、互联网网站整体没落,更容易爆出漏洞的小微网站越来越少。

APP、小程序等应用的崛起,由于不暴露地址特点,使黑客扫描漏洞的可能性也小了。

2、最重要的原因是:目前大多数网站都采用了各种成熟的框架技术,框架厂家相比小微建站公司而言,他们的框架产品漏洞更少,而且有团队长期维护更新,这就会让漏洞越来越少。

但这也是个双刃剑,有些知名的框架程序,一但爆出漏洞,很快就会成为大家都知道的秘密,这时候有人黑你网站,甚至更加容易。

总的来说我还是一直用自己写的程序,在信息安全方面更加注意也就是了。这些年信息安全逐渐成了一门独立学科,需要学的知识也很多,SQL只是恶性漏洞的一项,还有跨站攻击等其他恶性问题,大家慢慢了解吧。

评论0 赞同0
  •  加载中...
Sleepy

Sleepy

回答于2022-06-28 13:41

sql注入是程序员对代码考虑不完善造成的。随着人们对网络安全的越来越重视,目前大多数开发工具和框架都对sql注入进行了相应的处理,加之系统维护者和云主机提供商都会检测相关内容,结果就是sql注入越来越难了。它的发展方向会逐渐消亡,但是由于老旧系统和网站的存在以及还有不重视相关内容的开发者,这个过程还是要很缓慢。

评论0 赞同0
  •  加载中...
explorer_ddf

explorer_ddf

回答于2022-06-28 13:41

没法注入了,现在都是springboot之类的框架语言,根本不需要你来考虑注入攻击的问题,那些mybatis之类的数据库连接会自动检查sql注入,你用了也会无效

评论0 赞同0
  •  加载中...
tabalt

tabalt

回答于2022-06-28 13:41

主流语言 ,成熟的orm框架基本都已经不会存在SQL注入的问题了。除非后端自己写原生SQL可能就会有

评论0 赞同0
  •  加载中...

最新活动

您已邀请0人回答 查看邀请

我的邀请列表

  • 擅长该话题
  • 回答过该话题
  • 我关注的人
向帮助了您的网友说句感谢的话吧!
付费偷看金额在0.1-10元之间
<