Delphi考虑sql注入

最新推荐文章于 2023-03-21 20:53:58 发布
原创 最新推荐文章于 2023-03-21 20:53:58 发布 · 4.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#delphi #sql #insert #数据库服务器 #delete #数据库

本文探讨了在Delphi应用程序中如何防止SQL注入,通过使用QuotedStr或参数化查询来确保数据库交互的安全。作者通过一个实例展示了不安全的插入语句可能导致的数据删除,并提供了修正后的安全代码。

之前只在BS架构的项目中考虑了Sql注入问题,却很少考虑到用了多年的Delphi项目也应该考虑Sql注入的问题,今天做了个实验,成功完成注入,把表里数据全部删除,以后再做Delphi项目还真的考虑这个问题。

总体讲,大体知道有两种方式可以避免Delphi中的Sql注入:1、用QuotedStr替代'''进行字符串拼接;2、采用传参数的方式与数据库交互,这种方式哪天再仔细体验一下。

 

以下为一个小测试,一个简单的插入语句,如果Edit1内容为
abc') delete from tb1 insert into tb1(Id, Name) values(123, 'xxxx
则运行后,tb1表中之前数据将全部清除,只剩下insert into tb1(Id, Name) values(123, 'xxxx
添加的一条

 

改成sqlStr := 'insert into tb1(Id, Name) values(1, ' + QuotedStr(edit1.Text

最低0.47元/天 解锁文章
Delphi源码版:SQL注入程序实例.rar
07-10
Delphi源码版:SQL注入程序实例,只是写了界面及对注入做了一个更合理的流程安排。无使用三方控件,注入范围还挺广,不过不推荐本程序哦,切勿用于非法途径,后果自负。功能介绍:   1.请按照获取[SQL Server信息]、[获取表名]、[获取列名]、[获取数据]的顺序进行操作   2.软件将自动保存获取的信息,并可以导出(在列表右击弹出菜单)   3.可以建立多个项目,在左边的TTReeView右击弹出菜单   4.获取数据时可以自行设定条件,以获取特定的数据   BUG:   1.有时获取所有列的数据时不能获取数据,获取指定列时,却又能获取   2.暂时只能注入"http://www.xxx.com.cn/spjj.asp?id=169"这样的地址(注意id=后面的为数字)   3.暂时只能注入有错误提示的用SQL Server做数据库的网站
SQLServer注入程序Delphi无控件版..rar
05-04
SQLServer注入程序Delphi无控件版..rar
防止SQL注入实例
01-06
这是一个防止SQL注入的一个实例,很不错的,欢迎下载!
总结一下SQL语句中引号
宋威的专栏
10-20 1460
总结一下SQL语句中引号()、quotedstr()、()、format()在SQL语句中的用法以 及SQL语句中日期格式的表示(#)、()在Delphi中进行字符变量连接相加时单引号用(),又引号用()表示首先定义变量var AnInt:integer=123;//为了方便在此都给它们赋初值。虽然可能在引赋初值在某些情况下不对AnIntStr:string=456;A
oracle防止sql注入proc,关于oracle:Delphi – 防止SQL注入
weixin_42667269的博客
04-03 256
我需要保护应用程序免受SQL注入。 应用程序使用ADO连接到Oracle,并搜索用户名和密码以进行身份验证。从我读到现在开始,最好的方法是使用参数,而不是将整个SQL分配为字符串。 像这样的东西:query.SQL.Text := 'select * from table_name where name=:Name and id=:ID';query.Prepare;query.ParamByNa...
解决动态生成的SQL中特殊字符的问题 QuotedStr function
weixin_30779691的博客
12-11 145
Returns the quoted version of a string. Unit SysUtils Category String handling routines Delphi syntax: function QuotedStr(const S: string): string; Description Use QuotedStr to co...
安全编程实践:Delphi防止SQL注入与加密算法集成.pdf
最新发布
07-16
如果你正在寻找一种高效、强大的编程语言来开发跨平台应用,那么Delphi绝对值得考虑!它拥有直观的可视化开发环境,让代码编写变得轻松简单。凭借着快速的编译速度和卓越的性能优化,Delphi能够帮助开发者迅速构建出...
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
SQLServer注入程序Delphi无控件版
05-18
内容索引:Delphi源码,数据库应用,注入 SQLServer注入程序Delphi无控件版,对"asp?id=169"如果169为文字型,也可注入,而且 程序没有使用三方控件,方便编译,使用时请按照获取[SQL Server信息]、[获取表名]、[获取...
delphi_sql.rar_DelPhi SQl_delphi sql server_sql delphi
09-14
6. 参数化查询:防止SQL注入攻击,提高代码的可读性和可维护性。 7. 执行存储过程:调用SQL Server中的存储过程,处理复杂的业务逻辑。 8. 数据缓存:为了性能考虑,可能需要实现数据的缓存策略,减少对数据库的...
SQL语句嵌套最好用quotedstr函数替换
刘磊
04-23 1098
<br />dmcc.delete_rm_zjfhsj.add('select 数量 from rm_zjfhsj where 类型='CTO''); dmcc.delete_rm_zjfhsj.SQL.add('select 数量 from rm_zjfhsj where 类型='+quotedstr('CTO')); 凡是内引号对,最好用quotedstr函数替换
如何防止SQL注入攻击
DesignLife的专栏
10-17 1051
BS系统中,传统的注入攻击手段有很多。 最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。 但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等 对这些应用的注入攻击防不胜防。 我考虑了一个思路,供大家参考。 1 对所有网页传入的参数分三种。   a) 数字类型,用StrT
总结一下SQL语句中引号()、quotedstr()、()、format()在SQL语句中的用法
dibodang1423的博客
08-08 134
View Code 总结一下SQL语句中引号('')、quotedstr()、('''')、format()在SQL语句中的用法以及SQL语句中日期格式的表示(#)、('''')在Delphi中进行字符变量连接相加时单引号用(''''''),又引号用('''''''')表示首先定义变量var AnInt:integer=123;//为了方便在此都给它们赋初值。虽然可能在引赋初值在...
防止sql注入
Masha
01-28 707
XssSqlFilter     com.thundersoft.metadata.utils.filter.XssFilter           XssSqlFilter     /*       REQUEST   ===================== package com.thundersoft.metadata.utils.filter;
like 语法防止 SQL注入
weixin_44609018的博客
06-02 987
like 语法防止 SQL注入 Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: select * from t_user where name like '%' || #{name} || '%' SQLServer: select * from t_user where name like '%' + #{name} + '%'
怎么防止SQL注入
。。。。
03-21 7705
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
Delphi拼装SQL语句应该注意的地方
疯狂的老鼠
12-01 1158
Delphi中使用SQL语句要注意的事项,归纳起来主要有一下几条:   1、一定不要漏空格或换行符。   在使用Delphi开发管理软件时,我们要经常拼装SQL语句,例如: 'SELECT * FROM Users'+ 'WHERE UserOID IS NOT NULL' 这个时候SQL语句就变成了 SELECT  *  FROM  UsersWHERE UserOID IS
Mybatis小记(1)——如何防止SQL注入攻击
懿的博客
02-05 1170
1.什么是SQL(Structured Query Language)注入攻击 2.mybatis程序的验证 2018-02-05 16:23:03.191 | U7q5.null | DEBUG | http-nio-8081-exec-4 | BaseJdbcLogger.java:159 | ==> Preparing: SELECT id_ AS id,userinfo_
Delphi SQL注入源码分析与操作指南
资源摘要信息:"Delphi源码版:SQL注入程序实例" 知识点: 1. Delphi编程语言: Delphi是一种集成开发环境(IDE),它使用Object Pascal编程语言。Delphi广泛应用于快速应用开发(RAD),特别是在Windows平台上开发...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值