Web安全与防护 （微课版） 课件 03-4 项目四 任务四SQL注入漏洞修复与规范.pptx

Web安全与防护;目录CONTENTS;参数化查询;;假设我们有一个用户登录的页面，用户需要输入用户名和密码来登录。我们使用PHP和MySQL来实现这个功能。;我们使用了mysqli_prepare函数来准备SQL查询语句，并将需要传递给查询语句的参数用问号?替代。接着，使用mysqli_stmt_bind_param函数来绑定参数，参数的类型和值通过该函数的参数传递。最后，使用mysqli_stmt_execute函数执行查询语句并获取结果集。这样，就可以避免SQL注入攻击。;绕过后台登录修复（字符型注入）;绕过后台登录修复（字符型注入）;将请求转发至重发器（Repeater），先不修改用户名密码测试是否能够成功登录。响应结果。;文章页面注入漏洞修复（数字型注入）;文章页面注入漏洞修复（数字型注入）;文章页面注入漏洞修复（数字型注入）;文章页面注入漏洞修复（数字型注入）;文章页面注入漏洞修复（数字型注入）;数字型注入是指攻击者在输入框中输入的字符串被直接拼接到SQL语句中，例如在登录时，攻击者输入or1=1，;$id来自于用户通过id参数提交的值，并且未经过过滤和转义。;访问http://localhost/index.php?class=viewid=1页面。;文章页面注入（数字型注入）;再尝试访问http://localhost/index.php?class=viewid=1%20and%201=2，使查询条件不成立查看响应为异常页面说明该处存在注入点。;博客程序源码apps/search.php中代码存在SQL注入漏洞，在该段代码中存在SQL注入漏洞的地方是：;访问http://localhost/index.php?class=search在有哪些信誉好的足球投注网站框中输入and1=1--%进行有哪些信誉好的足球投注网站，响应页面。;课堂实践;一、任务名称：SQL注入漏洞代码审查与修复

二、任务内容：通过仔细审查代码，查找可能存在的SQL注入漏洞并针对发现的SQL注入漏洞，修改代码以修复漏洞。

三、工具需求：VisualStudioCode、MySQLWorkbench

四、任务要求：完成实践练习后，由老师检查完成情况。;课堂思考;一、如何通过输入验证来防止SQL注入?

二、SQL注入漏洞如何影响企业的业务运营？

三、如何通过代码审查来发现和修复潜在的SQL注入漏洞？

四、如何结合多种防御策略来构建全面的SQL注入防护体系？

;课后拓展：防御措施测试;请同学们在Web应用程序已经部署了防御措施的情况下，尝试绕过这些操作观察，并记录防御措施的效果，评估其是否能够有效阻止SQL注入攻击？;THANKYOU