可以说基本上死透了,现在除非那种笨蛋程序员谁还会用手动拼接SQL语句的方式呢?都是框架自动生成,而框架层面,基本上杜绝了SQL注入的可能性。
必须要承认一点,技术在不断地发展。当年用C++语言动不动就忘了释放指针,内存泄漏。于是有了后面Java等一大票带GC的语言,你放心用,碰到忘了释放的我帮你找出来释放。现在也是一样的,各种框架早就替你想好了SQL注入问题,它们把类库做得越来越好用,甚至很多类库已经是傻瓜式调用,目的就是为了让程序员们用的爽,彻底根除SQ注入问题。
当然,社会工程学是永远也逃避不开的问题。就算世界上所有类库都解决了SQL注入问题,也还是避免不了有人用123456做密码。所以搞渗透的也不要老是纠结于SQL注入这个层面,从更高处思考问题,才能更好的解决问题。
评论0
加载中...
sql注入基本已经不可能再实现攻击了,除了小白写的代码。现在大家都对SQL注入这个东东有了深入了解,各种框架已限制了这种攻击方式,前些年,SQL注入都已经吃不开了。
评论0
加载中...
还是我来一锤定音的回答你吧,首先说结果:SQL注入会存在,且会一直存在。
只要你用拼接方式写SQL语句,这种问题就像鬼魅一样缠着你。虽然我们对开发人员喉咙都喊破了,SQL必须参数化,但仍有人为了偷那几行代码的懒,抱着侥幸心理而使用拼接方式构造SQL语句。
黑客根本不会因为你的网站规模,或者你网站知名度而决定是否黑你,黑客也在与时俱进,基本都是全网智能扫描,甚至比百度爬虫还智能,互联网的网站旮旯拐角都能触及。一但扫到了漏洞,基本都是全自动匹配漏洞进行进一步入侵。以得到你网站后台密码,上传木马为分尸前的目标。得到服务器密码后,给你网站挂恶意广告、钓鱼代码、给服务器装恶意软件、挖矿软件等等,这是另外分尸人员的业务,和黑客无关此处不赘述。
现在说说为啥现在感觉SQL注入少了,这个错觉主要有两部分原因。
1、互联网网站整体没落,更容易爆出漏洞的小微网站越来越少。
APP、小程序等应用的崛起,由于不暴露地址特点,使黑客扫描漏洞的可能性也小了。
2、最重要的原因是:目前大多数网站都采用了各种成熟的框架技术,框架厂家相比小微建站公司而言,他们的框架产品漏洞更少,而且有团队长期维护更新,这就会让漏洞越来越少。
但这也是个双刃剑,有些知名的框架程序,一但爆出漏洞,很快就会成为大家都知道的秘密,这时候有人黑你网站,甚至更加容易。
总的来说我还是一直用自己写的程序,在信息安全方面更加注意也就是了。这些年信息安全逐渐成了一门独立学科,需要学的知识也很多,SQL只是恶性漏洞的一项,还有跨站攻击等其他恶性问题,大家慢慢了解吧。
评论0
加载中...
sql注入是程序员对代码考虑不完善造成的。随着人们对网络安全的越来越重视,目前大多数开发工具和框架都对sql注入进行了相应的处理,加之系统维护者和云主机提供商都会检测相关内容,结果就是sql注入越来越难了。它的发展方向会逐渐消亡,但是由于老旧系统和网站的存在以及还有不重视相关内容的开发者,这个过程还是要很缓慢。
评论0
加载中...
没法注入了,现在都是springboot之类的框架语言,根本不需要你来考虑注入攻击的问题,那些mybatis之类的数据库连接会自动检查sql注入,你用了也会无效
评论0
加载中...
0
回答4
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答
