基础Web安全|SQL注入

基础Web安全

URI

Uniform Resource Identifier，统一资源标识符，用来唯一的标识一个资源。

URL

Uniform Resource Locator，统一资源定位器，一种具体的URI，可以标识一个资源，并且指明了如何定位这个资源

URN

Uniform Resource Name，统一资源命名，通过名字来标识资源，比如email@123.com。

请求方式

GET/POST/PUT
‌GET‌：用于请求服务器发送资源。它会将请求参数附加在URL后面，因此对传输数据的大小有限制，通常不超过2KB。‌
‌POST‌：用于向指定资源提交数据，常用于提交表单或上传文件。POST请求可能会导致新资源的创建或现有资源的修改。人工构造
‌PUT‌：用于更新或添加资源，侧重于创建数据。‌

SQL注入

原理

前端调用后端是通过URL传递参数完成的，通过修改URL中的参数，将注入获取授权用户/其他资料的sql语句写入URL参数中，以获取相比于普通用户更高的权限，进行威胁操作。

预防原理

在后端接收前端传入参数时，进行参数的筛选（取值），选取特定的参数，然后再拼接成为sql语句，如后续提到的防止注入攻击进行预防。
可能出现在HTTP协议中的哪些部分？
Referer、Cookie、Body、URL。。。

SQL注入攻击实例

防止注入攻击