SQL注入产生的原因及解决方法

最新推荐文章于 2024-05-06 10:39:48 发布
最新推荐文章于 2024-05-06 10:39:48 发布
阅读量6k 收藏 5
点赞数 1
分类专栏: mysql php 文章标签: mysql php 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgcchao/article/details/53207088
版权
php 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
mysql
2 篇文章 0 订阅
订阅专栏

SQL注入产生的原因:程序开发过程中不注意规范书写 sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST 和GET 提交一些 sql语句正常执行。

处理的一些方法:

1、开启配置文件中的magic_quotes_gpc 和 magic_quotes_runtime 设置 



2、执行 sql语句时使用 addslashes进行 sql语句转换 


3、Sql语句书写尽量不要省略双引号和单引号。 


4、过滤掉 sql语句中的一些关键词:update、insert、delete、select、 * 。 


5、提高数据库表和字段的命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜 


   到的。 


6、Php 配置文件中设置register_globals 为off,关闭全局变量注册 


7、控制错误信息,不要在浏览器上输出错误信息,将错误信息写到日志文件中。 

truechao
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入详解
m0_67392811的博客
06-12 5343
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
php is_numberic函数造成的SQL注入漏洞
09-04
主要介绍了php is_numberic函数造成的SQL注入漏洞和解决办法,需要的朋友可以参考下
sql注入攻击的原理以及防范措施
V13807970340的博客
03-28 960
主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。简而言之,SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。
SQL数据库不用SQL语句能显示全表的内容_SQL注入是什么?如何防御SQL注入
weixin_40003767的博客
11-16 306
什么是SQL注入SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库(如M...
SQL注入问题的解决(PreparedStatement)
2401_83330354的博客
04-04 883
最近我根据上述的技术体系图搜集了几十套腾讯、头条、阿里、美团等公司21年的面试题,把技术点整理成了视频(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。// SQL语句的框架,其中一个?将来接收一个“值”,注意占位符不能用单引号括起来。// 程序运行到此处,会发送sql语句框架传给DBMS,然后DBMS对sql语句进行预编译。System.out.println(“请输入账号:”);System.out.println(“请输入密码:”);
SQL注入(分类、原因、寻找注入)
小赵同学的博客
02-14 1268
目标: SQL注入 SQL注入分类 造成SQL注入原因 寻找SQL注入 一、SQL注入 1、什么是SQL注入漏洞 攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库的入侵。 2、SQL注入原理 SQL注入攻击的本质,服务端没有过滤用户输入的恶意数据,直接把用户输入的数据当作SQL语句执行,从而影响数据库安全和平台安全 3、注入的本质 对于输入检查不充分,导致SQL语句将用户提交的非
web渗透测试----26、SQL注入漏洞--(1)原理篇
七天
08-26 5372
SQL注入漏洞
sql注入原理,为什么要sql注入
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-21 445
sql注入原理,SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,最终使web服务器执行恶意命令的过程。 sql注入原理:  下面我们来说一下sql注入原理,以使读者对sql注入攻击有一个感性的认识,至于其他攻击,原理是一致的。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数We
sql注入产生原因以及如何防止?
热门推荐
living_ren的博客
03-03 1万+
1.sql注入产生原因: 程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行; 2.防止过滤: 1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤; 2).在PHP配置文...
导致SQL注入原因是?怎么避免SQL注入
冬雨春雪
05-14 2141
在一个登录页面随意输入一个账号,密码输入如下格式: * 用户名: abc * 密码:abc' or '1'='1 登录成功(若登陆成功则为SQL注入) 以上随意输入一个用户名和密码,登陆成功了,这种现象被称为SQL注入现象! 导致SQL注入原因是?如何解决? 导致SQL注入的根本原因是:用户不是一般的用户,用户是懂的程序的,输入的用户信息以及密码信息 中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符创的拼接” 导致原SQL语句的含义被扭曲了,最最最主
SQL注入原理及产生过程
weixin_34311757的博客
06-26 433
最近在学习关于SQL注入方面的知识,想将一些相关的知识点做个汇总和笔记,方便日后的查阅也方便现在的学习。因为刚开始学习,涉猎还没有很深入,本章将简单的讲讲关于SQL注入的原理及其产生的过程和基本的一些加固方法。 1.理解SQL注入SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析和执行...
SQL注入攻击与防御(安全技术经典译丛)
02-19
针对SQL注入隐蔽性极强的特点,本书重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书...
SQL注入攻击与防御
10-04
本书作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的基本编码和升级维护进行全面跟踪,详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。...
SqlServer使用 case when 解决多条件模糊查询问题
12-15
二是拼接的SQL语句容易产生SQL注入漏洞。 最近写数据库存储过程的时候经常使用case when 语句,正好可以用这个语句解决一下以上问题。以SQL中的NorthWind数据库为例,我要操作的是其中的Employees表,该表中默认
net学习笔记及其他代码应用
11-16
run()方法可以产生必须退出的标志来停止一个线程。 40.接口是否可继承接口? 抽象类是否可实现(implements)接口? 抽象类是否可继承实体类(concrete class)? 答:接口可以继承接口。抽象类可以实现(implements)接口...
什么是持续集成 持续交付 持续部署。
dgcchao的博客
11-21 963
持续集成指的是频繁的(一天多次)将代码集成到主干。它的好处主要有两个:(1)、快  速发现错误,每完成一点更新,就集成到主干,可以快速发现错误,定位错误也比较容易。  (2)、防止分支大幅偏离主干。如果不是经常集成,主干又在不断更新,会导致以后集成的难度变  大,甚至难以集成。  持续集成的目的,就是让产品可以快速迭代,同时还能保持高质量。它的核心措施是,代码集成  到主干之前,必须
smarty原理简单看法
dgcchao的博客
11-18 283
smarty 是一个模板引擎,使用 smarty  主要是为了实现逻辑和外在内容的分离,如果不  使用模板的话,通常的做法就是 php 代码和 html代码混编。使用了模板之后,则可以将  业务逻辑都放到 php  文件中,而负责显示内容的模板则放到 html  文件中。Smarty  在执行  display 方法的时候,读取模板文件,并进行数据替换,生成编译文件,之后每次访问都会  直
mysql 按字段查询重复的数据
最新发布
退役熬夜选手的博客
05-06 122
如果您只想识别具有重复值的列名,则方法 1 或 2 可能就足够了。如果您需要有关重复值的更多信息,例如每个值的计数,则方法 3 或 4 可能更好。主键是唯一索引的一种特殊类型,它还标识表中的每个行。在 MySQL 中,可以使用多种方法来查询按字段重复的数据。您可以使用 DISTINCT 关键字来删除结果中的重复行。该查询将为每个行返回列名的值,以及该值在同一列中出现的次数。该查询将返回所有具有重复值的列名的值,以及每个值的计数。该查询将返回所有具有重复值的列名的值。该查询将返回所有具有重复值的列名的值。
sqlilabs过关手册注入天书
07-15
该手册通过提供实际的漏洞示例和相应的解决方案,帮助读者深入理解SQL注入攻击背后的原理和方法。它包括了各种不同类型的注入攻击,包括基于错误的注入、联合查询注入、布尔型注入等等。 通过学习这本手册,读者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值