1
A
回答
2
随机前缀使SQL注入攻击很难猜测有效的表名。
这些攻击通过将SQL代码插入用户输入字段来工作。这些有时会欺骗后端服务器执行额外的SQL命令。如果攻击者不知道表名,那么他们不能写入有效的SQL以这种方式注入。
1
攻击者可以依赖于从应用程序到应用程序,如果你的表名的一致性有一个独特的前缀,这几乎就像有另一种类型的密码,因为攻击者不能看到你命名你的表。否则,如果他们知道你的表名,并且他们找到了通过已知漏洞注入SQL的方法,那么他们可以使用查询中的表名来操作和/或转储所有数据。
相关问题
- 1. Spring安全性为所有角色名称添加前缀“ROLE_”?
- 2. 重命名/为SimpleMembership表添加前缀
- 3. 用'+'操作符为对象添加前缀是做什么的?
- 4. 如何添加“MITK”的安装前缀
- 5. OpenStack的:添加安全规则失败,原因是“默认”
- 6. 什么是表格前缀?
- 7. 添加前缀个
- 8. 春天的oauth2表添加前缀名
- 9. CMake的添加前缀列表
- 10. 为Enum值添加前缀的好处?
- 11. 为什么认为加密更安全?
- 12. 为什么前缀返回没有特定前缀的文档?
- 13. 的XElement添加前缀只
- 14. sp.core.js未加载的原因是什么?
- 15. 在Kotlin类中使用“Kt”后缀的原因是什么?
- 16. 是什么原因
- 17. 为什么TObject中的“T”前缀?
- 18. 为什么添加了非线程安全的java类?
- 19. 为什么const_missing没有在Object前面加上前缀?
- 20. 向VisualTree添加MediaElement的原因是什么?
- 21. InputStream为空? openStream的原因是什么?
- 22. 添加前缀do Django评论表
- 23. 如何为数组值添加前缀?
- 24. sas为列名添加前缀
- 25. 如何为订单号添加前缀
- 26. Javascript - 添加锚为设计原因
- 27. 'System.IO.IsolatedStorage.IsolatedStorageException'的原因是什么?
- 28. UnsupportedClassVersionError的原因是什么?
- 29. ChangeConflictException的原因是什么?
- 30. 什么是UnsatisfiedLinkError的原因?
我想它是发出一个名称包含一个适当的,也许是“随机”,前缀的CREATE TABLE请求。然后,SQL注入可能会更困难.... – 2013-03-16 08:12:08
,因为joomla是开源的,如果没有生成前缀,每个人都可以拥有相同的表名,很难猜测和利用表。 – tradyblix 2013-03-16 08:17:52