当前位置：小彬子的自媒体 > 电脑技术 > SQL注入：是什么，为什么会发生，WordPress如何防范

字体小/ 中/ 大

文章标签： sql注入

导语：最新被一些小人，利用一时疏忽，攻击了演示站，目前演示站沦陷，小程序趴窝，待我重整旗鼓，继续上路。当然站长并不是被光明正大sql注入了，而是被小人用了主题的漏洞中了一句话木马，然后利用中国蚁剑这个黑客软件进行webshell，但是偷鸡摸狗者万万没想到蚁剑打ip根本了进不来（估计现在还在发愣呢，给你把马中上你都进不来，傻逼），发现现给大家普及下相关sql注入知识，以免被一些别有用心的小人利用。

文章目录[隐藏]

SQL注入解释
- SQL注入期间会发生什么？
- 盲目的SQLi

SQL注入解释

黑客可以通过多种方式破解WordPress网站。虽然名为“SQL注入”可能不会为许多WordPress用户敲响警钟，但它实际上是一个相当简单的概念。

WordPress数据库如何工作

要了解其工作原理，让我们快速分解WordPress数据库中发生的事情：

每个WordPress站点都有一个数据库。WordPress安装使用MySQL作为默认数据库管理系统。WordPress使用SQL查询从网站的数据库中检索数据并在前端生成内容。开发人员使用PHP和这些查询来查看，添加，检索，更改或删除数据库中的代码。

但是，您并不总是需要访问WordPress或控制面板才能与数据库建立联系。

黑客如何违反WordPress数据库

SQL注入可以发生在您的站点具有表单元素的任何位置：

通用联系表格登录门户网站博客评论表订阅弹出窗口电子商务结账页面搜索栏等等

表单元素中只有一个漏洞可以打开数据库，直到外人。这是因为数据库捕获WordPress站点上的每个条目。当黑客想要对网站造成严重伤害时，他们所要做的就是输入恶意SQL命令而不是有效的表单条目。

举个例如电话号码这样的字段。

实际上，应将其配置为仅接受遵循目标用户所在国家/地区电话号码结构的数字条目。但是，如果您尚未将字段配置为仅接受确切的响应或插件无法正常工作，则黑客可以在纯文本字段中输入他们想要的任何内容。

SQL注入期间会发生什么？

我们通过两种方式对SQL注入进行分类：

经典SQLi

这些SQL注入会将数据返回给黑客的浏览器。基本上，他们使用表单来查询网站的数据库，就像您或WordPress一样。

这些类型的查询可以泄露有关数据库内部内容的信息，以便窃取敏感信息。它们还可以揭示数据库本身的结构，这使得对网站的攻击变得更加容易。

盲目的SQLi

这些SQL注入根本不返回任何数据。这就是为什么这些都是“盲目”的尝试。相反，黑客将使用此注入来执行数据库中的各种操作（比如删除所有数据）。

毋庸置疑，重要的是不仅要保持严格的WordPress安全协议，还要确保您的表单也得到适当的保护。

WordPress能做些什么吗？

看看SQL注入如何在数据库级别发生，你会认为WordPress会开发出一种对抗它们的方法。事实上，WordPress已经有了。

WordPress使用验证，清理和转义数据的系统：

验证可确保输入的数据符合为其规定的标准。在电话号码示例中，这意味着10个字符的数字将是唯一接受的条目（对于美国访问者而言）。清理使开发人员能够sanitize_text_field()在将条目添加到数据库之前使用该函数从条目中删除任何过多或不允许的字符。转义是用于保护您在网站前端向用户提供的任何数据的过程。

尽管这是一个有效的系统，但它存在一些问题。

首先，WordPress本身并不是100％安全的SQL注入。

2017年10月，WordPress推出了4.8.3安全版。它修补了WordPress中检测到的SQLi漏洞。虽然核心没有受到影响，但插入WordPress的插件或主题当然可能已经存在。

然后，有WordPress插件和主题的一般问题。联系表单插件或使用它们的主题的开发人员必须非常小心它们的编码方式。表单元素中的一个错误可能会将所有用户引入SQL注入漏洞。

但是，由于我们无法控制WordPress的功能，或者开发人员如何编写产品代码，因此我们必须自己动手。这意味着包括某些WordPress安全措施，以帮助避免在我们的网站上进行SQL注入。

如何防止SQL注入以获得更好的WordPress安全性

以下是保护站点免受SQL注入以及提高整体WordPress安全性所需的操作：