SQL注入漏洞产生的原因 ? 如何防止?

最新推荐文章于 2024-02-22 14:08:22 发布
最新推荐文章于 2024-02-22 14:08:22 发布
阅读量2.2w 收藏 19
点赞数 5
分类专栏: PHP 文章标签: 漏洞 全局变量 sql注入 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29920751/article/details/51661257
版权

SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。

防止SQL注入:

开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置

执行sql语句时使用addslashes进行sql语句转换

Sql语句书写尽量不要省略小引号和单引号

过滤掉sql语句中的一些关键字:update、insert、delete、select、*

提高数据库表和字段的命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜到的。

Php配置文件中设置register_globals为off,关闭全局变量注册

控制错误信息,不要再浏览器上输出错误信息,将错误信息写到日志文件中。

如何进行防SQL注入?

过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。

在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$user可以接收表单的值。

SQL语句书写的时候尽量不要省略小引号(tab键上面那个)和单引号

提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的

对于常用的方法加以封装,避免直接暴漏SQL语句

开启PHP安全模式Safe_mode=on;

打开magic_quotes_gpc来防止SQL注入 Magic_quotes_gpc=off;默认是关闭的,它打开后将自动把用户提交的sql语句的查询进行转换,把'转为\',这对防止sql注入有重大作用。因此开启:magic_quotes_gpc=on;

控制错误信息关闭错误提示信息,将错误信息写到系统日志。

使用mysqli或pdo预处理。

推荐教程:

mysql 性能优化方案

MySQL 数据库设计总结

MySQL 索引及查询优化总结

推荐公众号:【PHPer技术栈】专注后端开发,倡导开源文化,做一个好玩、有趣、有灵魂的PHPer工程师,欢迎大家关注!

Japer_01
关注
  • 5
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php is_numberic函数造成的SQL注入漏洞
09-04
主要介绍了php is_numberic函数造成的SQL注入漏洞和解决办法,需要的朋友可以参考下
SQL注入(分类、原因、寻找注入)
小赵同学的博客
02-14 1251
目标: SQL注入 SQL注入分类 造成SQL注入原因 寻找SQL注入 一、SQL注入 1、什么是SQL注入漏洞 攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机直接对后台数据库系统下达指令,进而实现对后台数据库的入侵。 2、SQL注入原理 SQL注入攻击的本质,服务端没有过滤用户输入的恶意数据,直接把用户输入的数据当作SQL语句执行,从而影响数据库安全和平台安全 3、注入的本质 对于输入检查不充分,导致SQL语句将用户提交的非
SQL注入问题 随手笔记
qq_66228897的博客
07-09 163
就是在用户可填写的内容中包含了可以运行的SQL片段或语句,这样的SQL片段或语句是可以改变原有SQL的执行语义,从而执行出与原有SQL相违背的结果!因此这个过程就被称为SQL注入过程,出现的结果被称之为SQL注入问题。
sql注入是什么,是如何产生
最新发布
slty_123的博客
02-22 369
SQL注入产生原因通常可以归结为以下几点:不当的类型处理:应用程序未能对用户输入的数据进行正确的类型处理,导致攻击者可以插入恶意的SQL代码。不合理的查询集处理:应用程序在构建SQL查询语句时,未能对用户输入的数据进行充分的验证和过滤,导致攻击者可以插入恶意的SQL代码。此外,应用程序还应该对数据库的错误信息进行适当的处理,避免泄露敏感信息给攻击者。SQL注入SQL Injection)是一种常见的网络攻击手段,它通过在应用程序的输入字段中插入恶意的SQL代码,从而欺骗服务器执行非法的数据库操作
sql注入原理及解决方案
a304096740的博客
02-06 687
sql注入原理 sql注入原理就是用户输入动态的构造了意外sql语句,造成了意外结果,是攻击者有机可乘 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层...
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1138
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必产生 SQL 注入漏洞。在这种情况下使用「#」 程序报错,新手程序员就把「#」 号改成了「$」
sqli注入的方法以及可能导致sql注入的地方
u012684933的专栏
02-13 3871
使用“--”注解后面的sqli语句的时候,如果“--”后面没有空格,可能失败 "#" 需要编码为%23 有时候注入之后有多个条目显示,但是返回条件判断是不是只有1条,这个时候可以使用limit关键词,一条一条显示 通过在输入参数里面,输入"\"字符,破坏原先sql语句结构,达到sql注入的目的,例如sql语句: SELECT * FROM users WHER
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6271
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2257
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
SQL注入漏洞详解
m0_56822024的博客
07-08 9168
SQL注入漏洞主要形成的原因是Web应用程序对用户的输入没有做严格的判断,导致用户可用将非法的SQL语句拼接到正常的语句中,被当作SQL语句的一部分执行。
如何避免 SQL 注入?
m0_68464502的博客
06-13 1356
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
PHPCMS2008广告模板SQL注入漏洞修复
12-19
PHPCMS2008由于广告模块取referer不严,导致一处sql注入漏洞.可以得到管理员用户名与密码,攻击者登录后台后可能获取webshell,对服务器进行进一步的渗透。 01 漏洞分析 漏洞产生的位置: /ads/include/ads_place....
深入了解SQL注入
12-15
什么是sql注入Sql injection)? Sql注入是一种将sql代码添加到输入参数中,传递到Sql服务器解析并执行的一种攻击手法 2. 怎么产生的? Web开发人员无法保证所有的输入都已经过滤 攻击者利用发送给Sql服务器的输入...
基于Python的自动化SQL注入工具开发
04-29
随着全球信息化大局的全面铺开,全世界生产力和社经济的发展都越来越离 不开互联网,大到国家,小到组织和个人,都已经习惯...(2)介绍和研究了SQL注入漏洞产生原理和常见的的利用方式,并列举SQL 注入方法,分析和
sqli-exploiter:利用sqlmap找不到SQL注入漏洞的工具
05-17
出于利用sqlmap找不到SQL注入漏洞的需要而产生的。 始终先尝试sqlmap。 它是高度可定制的,并且仅在非常复杂的注入情况下才失败。 但是,当它确实失败时,请使用它。 享受! -蒂姆(@ lanmaster53)Tomes 入门 ...
TP框架中的M,D,C,A,I,S方法
PHPer技术栈
02-09 2万+
M方法 M实例化参数是数据库的表名 //使用M方法实例化$User = M('User');//和用法$User = new /Think/Model ('User');等效//执行其他的数据操作$User->select(); M 方法也支持垮库操作. //使用M方法实例化,操作db_name中的ot_user表$User = M('db_name.User','ot_');/...
PHP开发APP接口实现--基本篇
PHPer技术栈
10-22 1万+
最近一段时间一直在做APP接口,总结一下APP接口开发以来的心得,与大家分享: 1. 客户端/服务器接口请求流程: 安卓/IOS客户端 –> PHP接口 –> 服务器端 –> 数据处理–> 返回值(客户端接收并处理) APP的通信方式: 客户端 (接口地址:http://app.com/api.php?format=xml/json) 客户端APP ......
mutillidae sql注入漏洞产生原因
05-23
为了防止SQL注入漏洞,应用程序应该对所有用户输入进行验证和过滤,以确保它们仅包含预期的数据。可以使用参数化查询或存储过程来避免这些漏洞。另外,不要将敏感数据存储在数据库中,而应该使用加密技术来保护数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值