greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/russian/sql/sql-injection/index.md

1.3 KiB
Raw Blame History

title localeTitle
SQL Injection SQL-инъекция

SQL-инъекция

SQL-инъекция - это вредоносная техника, предназначенная для компрометации или уничтожения баз данных. Это один из самых распространенных методов веб-взлома.

SQL-инъекция выполняется путем размещения вредоносного кода в операторах SQL через вход.

Следующий пример - фрагмент кода, который будет извлекать пользователя из базы данных на основе AccountId .

passedInAccountId = getRequestString("AccountId"); 
 sql = "select * from Accounts where AccountId = " + passedInAccountId;

SQL-инъекция может использоваться для компрометации этого кода путем ввода 1=1; для AccountId .

https://www.foo.com/get-user?AccountId="105 OR 1=1;"

1=1 всегда будет иметь значение TRUE . Это приведет к тому, что исполняемый код выведет всю таблицу учетных записей.