什么是sql注入？我們常見的提交方式有哪些？感謝邀請，針對你得問題，我有以下回答，希望能解開你的困惑。首先回答第一個(gè)問題：什么是SQL 注入? 一般來說，黑客通過把惡意的sql語句插入到網(wǎng)站的表單提交

什么是sql注入？我們常見的提交方式有哪些？

感謝邀請，針對你得問題，我有以下回答，希望能解開你的困惑。

首先回答第一個(gè)問題：什么是SQL 注入?

一般來說，黑客通過把惡意的sql語句插入到網(wǎng)站的表單提交或者輸入域名請求的查詢語句，最終達(dá)到欺騙網(wǎng)站的服務(wù)器執(zhí)行惡意的sql語句，通過這些sql語句來獲取黑客他們自己想要的一些數(shù)據(jù)信息和用戶信息，也就是說如果存在sql注入，那么就可以執(zhí)行sql語句的所有命令

那我延伸一個(gè)問題:sql注入形成的原因是什么呢？

數(shù)據(jù)庫的屬于與網(wǎng)站的代碼未嚴(yán)格分離，當(dāng)一個(gè)黑客提交的參數(shù)數(shù)據(jù)未做充分的檢查和防御的話，那么黑客的就會輸入惡意的sql命令，改變了原有的sql命令的語義，就會把黑客執(zhí)行的語句帶入到數(shù)據(jù)庫被執(zhí)行。

現(xiàn)在回答第二個(gè)問題：我們常見的注入方式有哪些？

我們常見的提交方式就是GET和POST

首先是GET，get提交方式，比如說你要查詢一個(gè)數(shù)據(jù)，那么查詢的代碼就會出現(xiàn)在鏈接當(dāng)中，可以看見我們id=1，1就是我們搜索的內(nèi)容，出現(xiàn)了鏈接當(dāng)中，這種就是get。

第二個(gè)是Post提交方式是看不見的，需要我們利用工具去看見，我們要用到hackbar這款瀏覽器插件

可以就可以這樣去提交，在這里我搜索了2，那么顯示的數(shù)據(jù)也就不同，這個(gè)就是數(shù)據(jù)庫的查詢功能，那么的話，get提交比post的提交更具有危害性。

第二個(gè)是Post提交方式是看不見的，需要我們利用工具去看見，我們要用到hackbar這款瀏覽器插件。

以上便是我的回答，希望對你有幫助。

SQL注入，get，post，cookie攻擊怎么實(shí)戰(zhàn)？

1. SQL注入。

說白了就是無論你傳什么參數(shù)進(jìn)行Select，都會把數(shù)據(jù)庫中的數(shù)據(jù)查詢出來。比較常見的就是通過拼接SQL查詢條件，使查詢語句恒為true。

select * from t_user where name=？ and password = ？

如果我們把password的值輸入 """" " or 1=1""， 這樣，后臺的程序在解析的時(shí)候，拼成的SQL語句，就變成了：

select * from t_user where name=? and password="" or 1=1

那么會引起無論用戶名傳入什么都會返回用戶信息。

SQL注入預(yù)防是寫程序的碼農(nóng)最基本的要求，要說實(shí)戰(zhàn)不妨搞一個(gè)用jsp搞一個(gè)登錄頁面，然后簡單Jdbc訪問數(shù)據(jù)庫，驗(yàn)證一下。

2. Get 、Post

如果前面那個(gè)SQL注入的登錄頁面搞定，那不妨在瀏覽器中右鍵"檢查"，著重關(guān)注一下請求信息，分別把提交表單的方式修改為get、post看看報(bào)文信息。

3. Cookie

還是在上一步的基礎(chǔ)之上，著重觀察一下cookie中存放的信息。一般設(shè)計(jì)的時(shí)候不會放很敏感的信息。

稍微回答一下，若未回答到你心坎里，見諒。