SQL注入原理 在动态网站中,往往需要用户传递参数到服务器,这些参数往往需要和数据库进行交互;当服务端没有对参数进行安全过滤时,攻击者在参数中加入恶意的SQL语句结构,便编造成了SQL注入漏洞....news where id=1 or 1=1,因此参数改变了原有的SQL语句结构，导致了SQL注入漏洞攻击。...1=1 #%' 所有的用户都在下方展示了出来，在命令行里我们可以这样搜索： [20201101153936.png] 三、 SQL注入检测 在检测SQL注入漏洞时候，要明白SQL注入一定会要与数据库进行交互才会存在注入点...这时，我们之前学习的SQL注入办法就无法使用了。 盲注，即在SQL注入过程中，SQL语句执行选择后，选择的数据不能回显到前端，我们需要使用一些特殊的方法进行判断或尝试，这个过程称为盲注。...注入防御 不要使用动态SQL,避免将用户提供的输入直接放入SQL语句中；最好使用准备好的语句和参数化查询（PDO预处理），这样更安全；限制数据库权限和特权,将数据库用户的功能设置为最低要求；这将限制攻击者在设法获取访问权限时可以执行的操作