防止SQL注入

最新推荐文章于 2021-05-17 20:06:29 发布
最新推荐文章于 2021-05-17 20:06:29 发布
阅读量301 收藏
点赞数

一个恐怖的例子:

注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入式攻击,与及他的防范措施。对于一个简单的用户登陆可能的代码如下:
try
{
 string strUserName = this.txtUserName.Text;
 string strPwd = this.txtPwd.Text;
 string strSql = "select * from userinfo where UserName='" + strUserName + "' and Password='" + strPwd + "'";
 SqlConnection objDbConn = new SqlConnection("数据库连接字符串");
 SqlDataAdapter objAdapter = new SqlDataAdapter(strSql,objDbConn);
 DataSet objDataSet = null;
 objAdapter.Fill(objDataSet);//TODO 对获取的数据进行判断。
}
catch (System.Exception e)
{
 this.lblMsg.Text = e.Message;
 this.lblMsg.Visible = true;
}
  在上面这段代码中,如果用户的输入是正常的用户名和密码的话,那么执行都会比较正常,但是,假如输入用户名的时候,输入的是“johny’--”的话,在 SQLServer里面执行的语句将会是“select * from userinfo where UserName=’johny’--‘ and Password=’密码’”,只要数据库中存在johny这个用户的话,那么不管密码是什么,语句都能够执行成功,并且能够顺利通过登陆。还 有更加厉害的,我们知道SQLServer里面有一些系统的存储过程,能够执行操作系统的很多命令,比如xp_cmdshell,假如上面用户登陆的时 候,用户名部分输入的是“johny’ exec xp_cmdshell ‘format d:/s’--”,大家想想一下后果是什么?有恶意的用户,只要把’format d:/s’这个命令稍加改造就能够做很多不合法的事情。

 

.NET防SQL注入方法

1,利用SqlCommand传参数的方法:

string  strSQL= "SELECT * FROM [user] WHERE user_id=@id" ;
SqlCommand cmd = new  SqlCommand();
cmd.CommandText = strSQL;
cmd.Parameters.Add( "@id" ,SqlDbType.VarChar,20).Value=Request[ "id" ].ToString();

  

2,过滤禁止运行法:

/// <summary>
/// 过滤SQL语句,防止注入
/// </summary>
/// <param name="strSql"></param>
/// <returns>0 - 没有注入, 1 - 有注入 </returns>
public  int  filterSql( string  sSql)
{
     int  srcLen, decLen = 0;
     sSql = sSql.ToLower().Trim();
     srcLen = sSql.Length;
     sSql = sSql.Replace( "exec" , "" );
     sSql = sSql.Replace( "delete" , "" );
     sSql = sSql.Replace( "master" , "" );
     sSql = sSql.Replace( "truncate" , "" );
     sSql = sSql.Replace( "declare" , "" );
     sSql = sSql.Replace( "create" , "" );
     sSql = sSql.Replace( "xp_" , "no" );
     decLen = sSql.Length;
     if  (srcLen == decLen) return  0; else  return  1;        
}

3,存储过程

js版的防范SQL注入式攻击代码:

 

<script language= "javascript" >
<!--
var  url = location.search;
var  re=/^\?(.*)(select%20|insert%20| delete %20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ "|:|net%20user|\|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
     alert(" 地址中含有非法字符~ ");
     location.href=" error.asp";
}
//-->
<script>
cdjj_灰少
关注
如何保护 Linux 数据库免受 SQL 注入攻击?
网络技术联盟站
06-17 207
SQL 注入是一种常见的网络攻击类型,它利用应用程序对用户输入的不充分验证和过滤,导致恶意用户可以通过注入恶意的 SQL 代码来执行未授权的数据库操作。为了保护 Linux 系统上的数据库免受 SQL 注入攻击,我们需要采取一系列的安全措施和最佳实践。本文将详细介绍如何保护 Linux 数据库免受 SQL 注入攻击。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
linux之mysql数据库搭建及sql注入和防御
umke888的博客
01-10 2179
mysql中文手册下载地址:/data/2244392 sql注入各种姿势:/10319657/1828167 sqlmap注入神器详解:/10319657/1841241 数据库分为三种基本形式 : (其实这些都是众所周知的,只是为了知识的完整性,简单的带过) 关系型数据库 层次型数据库 网状型数据库 运行在Linux系统上的关系型数据库管理系统主要产品:
如何防止sql注入
AinUser的博客
06-26 903
[html] view plain copy 一个老生常谈的问题,但是我是只知道毛毛雨的原理,具体的防止操作,着实没有做过 原理:一些拥有高级电脑知识的人才,试图通过破解用户登陆,来获取数据库中的用户信息 专业术语:通过字符串的恒等式拼接获取
防止sql注入方法
qq_36031634的博客
09-06 3079
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入方法实例详解...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
参数化命令(防止SQL注入
初学者
03-19 2644
1. 参数化命令相关知识点:(防止SQL注入) DAL类: public DataTable StudentDAL(string name,string gender) { string str="连接字符串"; using (SqlConnection con=new SqlConnection(str)) {
使用过滤器防止简单的页面SQL注入
zhuxinquan的博客
09-07 9082
在之前写的一个群博系统中,在上线一段时间后,被自己人发现了一个天大的漏洞——SQL注入,自己也是第一次遇到,真是难以置信,后来看到这样一篇文章:java类过滤器,防止页面SQL注入。自己修改了一下,可以解决一般的SQL注入了(最起码使用sqlmap这种工具没有造成注入)。首先说一下在我的系统中造成SQL注入的原因: 大量的SQL语句拼接——为了能够根据不同的请求参数在同一个页面查询后展示,所以在主页
linux上的sql注入攻击,防止sql注入攻击的方法总结,sql注入攻击总结
weixin_39822728的博客
05-15 630
防止sql注入攻击的方法总结,sql注入攻击总结SQL注入是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料的结果,最终达到欺骗服务器执行恶意的SQL命令。SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6620
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
linux怎么防止sql注入,Nginx防止SQL注入规则,nginxsql注入
weixin_36421674的博客
05-17 382
Nginx防止SQL注入规则,nginxsql注入$request_uriThis variable is equal to the original request URI as received from the client including the args. It cannot be modified. Look at $uri for the post-rewrite/altered...
防止SQL注入的几种方式
justlpf的专栏
08-12 1999
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码...
JSP学生学籍管理系统设计与实现(源代码+论文+开题报告+外文翻译+答辩PPT).zip
09-21
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
省市区数据,完成三级联动,选择地区
最新发布
09-21
省市区数据,完成三级联动,选择地区
ASP.NET HttpModule防止SQL注入实战
在本话题中,我们将探讨如何利用HttpModule来防止SQL注入攻击。 SQL注入是一种常见的网络安全漏洞,攻击者通过在输入字段中插入恶意SQL语句,试图获取、修改、删除数据库中的敏感信息。为了防止这种情况,开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值