sql 之 union && union all 以及安全问题

合并两个数据表,而被合并的表的列必须完全相同,也就是:列的数量一致,列的名字一致,列的顺序一致,列的类型一致。

 

两者的区别:

union合并表之后,重复的行数据会被化作一条数据,而后者union all将所有数据行都显示,重复的时候依然保持重复。
 

union使用方法:

SELECT column_name(s) FROM table_name1  
UNION  
SELECT column_name(s) FROM table_name2

 

union all使用方法:

SELECT column_name(s) FROM table_name1  
UNION ALL  
SELECT column_name(s) FROM table_name2


有关安全的问题:
有时候网站的开发者会使用这样的url:http://www.xxx.com/test.php?id=xxx

之后将id后边的内容直接去在数据库中执行查找,这样实在太危险了:

当用户提交时将id获取的内容修改,就可能造成敏感数据被泄漏

 

比如我简历一个表:
blob.png

想要的提交是:

1

执行SQL正常语句是:

select username,email  from user where id=1

结果是:

 

而恶意用户会提交:

1 union select password,1 from user

这样整条语句是:

select username,email from user where id=1 union select password,1 from user

返回的结果是:
blob.png
造成了密码的泄漏,当然一般情况下网站拥有者会检测这个id后边的数据,但是马虎或者没有意识的开发者有时候会直接将id后边的字符串读取后直接去运行了。

 

修改时间 2018-04-25

真诚赞赏,手留余香
赞赏
App 开发
Windows下Cordova环境搭建及如何用android studio导入cordova项目生成apk
2016-08-21
MySQL
MySQL将时间戳直接转换成日期时间 FROM_UNIXTIME
2016-08-21
ngtwewy
随机推荐
Node.js 18.x 开始支持内置单元测试
如何调整 iconfont 图标的位置和基线
WordPress 获取当前主题文件夹的路径
支持 Selector API 的 HTML 解析器 node-html-parser
SQL 注入的生命力
什么是 RESTful API 的幂等性
Debian11 安装笔记1:编译安装Nginx、Naxsi 和 Njs
如何使用命令修改 MySQL 数据库名称
Linux apt 命令
PHP-FPM 对三种子进程的管理模式

微信联系我

夜间模式切换
回到顶部