web攻防——通用漏洞&SQL注入&Sqlmap&Oracle&Mongodb&DB2

解决SQL注入和使用SQLmap进行Oracle、MongoDB、DB2数据库攻击与防御的问题，需要关注以下几个方面：

1. 防止SQL注入：

   • 使用参数化查询（预处理语句）。
   • 对输入进行验证和清理。
   • 使用ORM工具（例如Hibernate, ActiveRecord等）。

2. 使用SQLmap进行攻击：

   • 确保SQLmap的使用符合法律法规。
   • 了解目标系统的结构和漏洞。
   • 使用SQLmap的正确选项和技术来发现和利用漏洞。

示例代码（伪代码）：

1. 防止SQL注入（以Python的pymysql为例）：

import pymysql
 
# 连接数据库
connection = pymysql.connect(host='localhost',
                             user='user',
                             password='passwd',
                             database='db',
                             charset='utf8mb4',
                             cursorclass=pymysql.cursors.DictCursor)
 
try:
    with connection.cursor() as cursor:
        # 使用参数化查询
        sql = "SELECT * FROM `users` WHERE `username` = %s"
        cursor.execute(sql, ('someuser',))
        result = cursor.fetchone()
        print(result)
finally:
    connection.close()

2. 使用SQLmap（命令行示例）：

sqlmap -u "http://www.vulnerable-site.com/vuln-page.php?id=1" --risk=3 --level=5 --batch

注意：

• 在实际环境中，防御措施需要根据具体情况和对安全性的要求进行定制。
• 使用SQLmap时，请确保你有权进行测试，并遵守相关法律法规。