php生成唯一id的幾種解決方法？網上查了一下，方法很多。(時間()。mt _ rand (1，100，000))這種方法有一定的重復概率。的內置函數uniqid()，根據當前時間(以微秒計)生成一個

php生成唯一id的幾種解決方法？

網上查了一下，方法很多。(時間()。mt _ rand (1，100，000))這種方法有一定的重復概率。的內置函數uniqid()，根據當前時間(以微秒計)生成一個唯一的id。W3School參考手冊里有一句話，:。

什么是sql注入？我們常見的提交方式有哪些？

什么是SQL注入(SQLi)？SQL注入是一個網絡安全漏洞，它使得攻擊者能夠干擾應用程序 的數據庫查詢。通常，它允許攻擊者查看他們通常無法檢索的數據。這可能包括屬于其他用戶的數據，或者應用程序本身可以訪問的任何其他數據。在許多情況下，攻擊者可以修改或刪除這些數據，從而永久改變應用程序的內容或行為。

在某些情況下，攻擊者可以升級SQL注入攻擊來破壞底層服務器或其他后端基礎設施，或者執行拒絕服務攻擊。

成功的SQL注入攻擊會產生什么影響？成功的SQL注入攻擊可能導致對敏感數據的未經授權的訪問，如密碼、信用卡詳細信息或個人用戶信息。近年來，許多驚人的數據泄露是SQL注入攻擊的結果，導致聲譽受損和監管罰款。在某些情況下，攻擊者可以獲得一個組織系統的持久性后門，從而導致長期的危害，并且可能在很長時間內不會被發現。

SQL注入的例子將有不同的SQL注入漏洞，攻擊和技術在不同的情況下。一些常見的SQL注入示例包括:

檢索隱藏數據，您可以在其中修改SQL查詢以返回其他結果。

顛覆應用程序邏輯，您可以更改查詢來干擾應用程序邏輯。

聯合攻擊，可以從不同的數據庫表中檢索數據。

檢查數據庫，從中可以提取關于數據庫版本和結構的信息。

盲SQL注入，你控制的查詢結果不會在應用程序的響應中返回。

檢索隱藏數據

考慮一個顯示不同類別產品的購物應用程序。當用戶點擊 "禮品及贈品類別，他的瀏覽器將請求URL:

這使應用程序能夠進行SQL查詢，從數據庫中檢索相關產品的詳細信息:

從禮品和已發布類別的產品中選擇*

該SQL查詢要求數據庫返回:

所有詳細信息(*)

從產品表中

類別是禮物。

并將其發布為1。

這個限制，released 1，用于隱藏未發布的產品。對于未發布的產品，大概是發布0。

該應用程序沒有針對SQL注入攻擊實施任何防御措施，因此攻擊者可以構建以下攻擊:這將導致一個SQL查詢:

選擇*從產品類別禮品-和發布1

這里的關鍵點是雙破折號序列SQL中的注釋指示符——意味著查詢的其余部分將被解釋為注釋。這可以有效地刪除查詢的其余部分，因此它不再包含和發布1。這意味著將顯示所有產品，包括未發布的產品。

此外，攻擊者可以讓應用程序顯示任何類別的所有產品，包括他們不知道的類別。;我不知道:

或者11 -

這將導致一個SQL查詢:

從禮品或11類產品中選擇*并發布1

修改后的查詢將返回所有11個屬于禮品類別或1等于1的商品。因為它始終為真，所以查詢將返回所有項目。

顛覆應用程序邏輯考慮一個允許用戶使用用戶名和密碼登錄的應用程序。如果用戶提交用戶名wiener和密碼bluecheese，應用程序將通過執行以下SQL查詢來檢查憑據:

SELECT * FROM users，其中用戶名wiener和密碼bluecheese

如果查詢返回用戶的詳細信息，則登錄成功。否則將被拒絕。

在這里，攻擊者可以簡單地使用SQL注釋序列——從WHERE query子句中刪除密碼檢查，并以任何沒有密碼的用戶身份登錄。例如，提交用戶名administrator -和空白密碼將導致以下查詢:

SELECT * FROM users其中用戶名administrator -和密碼

該查詢返回名為administrator的用戶，并以該用戶身份成功登錄攻擊者。

從其他數據庫表中檢索數據

如果在應用程序的響應中返回SQL查詢的結果，攻擊者可以利用SQL注入漏洞從數據庫的其他表中檢索數據。這是使用UNION關鍵字完成的，它使您能夠執行附加的SELECT查詢并將結果追加到原始查詢中。

例如，如果應用程序執行以下包含用戶輸入的查詢 "禮品及贈品：

從禮品類別的產品中選擇名稱和描述

然后，攻擊者可以提交輸入:

UNION從用戶選擇用戶名和密碼-

這將導致應用程序返回所有用戶名和密碼以及產品名稱和描述。

檢查數據庫在最初確定SQL注入漏洞后，獲取一些關于數據庫本身的信息通常非常有用。這些信息通常可以為進一步的開發鋪平道路。

您可以查詢數據庫的版本詳細信息。實現這一點的方法取決于數據庫類型，因此您可以從任何技術推斷出數據庫類型。例如，在Oracle上，您可以執行以下操作:

從v $版本中選擇*

您還可以確定存在哪些數據庫表以及它們包含哪些列。例如，在大多數數據庫中，您可以執行以下查詢來列出表:

從信息中選擇*

當應用程序從HTTP請求中獲取用戶輸入，并且在處理請求的過程中，輸入以不安全的合并到SQL查詢中時，就會發生二階SQL注入一階SQL注入。

在二級SQL注入(也稱為存儲SQL注入)中，應用程序從HTTP請求中獲取用戶輸入，并將其存儲起來以備將來使用。這通常是通過將輸入放入數據庫來完成的，但在存儲數據時不會有漏洞。稍后，當處理其他HTTP請求時，應用程序將以不安全的檢索存儲的數據，并將其合并到SQL查詢中。

當開發人員意識到SQL注入漏洞并因此安全地處理數據庫輸入的初始位置時，通常會出現二階SQL注入。當將來處理數據時，它被認為是安全的，因為它以前已經被安全地放置在數據庫中。這時候因為開發者誤以為數據可信，所以對數據進行了不安全的處理。

一般來說，我們可以通過使用參數化查詢(也稱為預處理語句)而不是查詢中的字符串連接來防止大多數SQL注入實例。