防止SQL注入攻击

最新推荐文章于 2023-05-16 09:56:50 发布
最新推荐文章于 2023-05-16 09:56:50 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 网站安全技术 文章标签: sql注入 数据库 密码 黑客 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhulike2011/article/details/12148285
版权

使用预编译可以自动防止SQL注入攻击。


一般来说下面的案例是典型的容易受攻击的做法

$query = "select * from db_name where name='name' and password='xxxxxx'  ";

//看看有没有查询到

if(查询到){

   header("admin.php"); //登录成功,跳到管理员界面

}

else {

  header("login.php");  //登录失败跳回到登录页面

}

为什么说上面的代码容易被攻击,因为要想让$query执行成功,很简单

只要这样写就可以了,

$query= " select   *  from  db_name where name='name'  and password='xx' or 1='1' ";

密码乱写也没关系,这句语句仍然会成功执行。

下面是解决办法:

1.采用预编译,就是mysqli_stmt类文件来执行数据库查询语句。

2.更改登录逻辑

第一步根据用户的名字来查询密码

然后再调用数据库获得密码与这个密码比对,通过之后再登录到管理员界面。这样就防止密码被看到,因为密码和用户名不是放在同一个数据表中,自然黑客就不能通过上面手段看到密码了。

ricky_zhu_li_ke
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入
SQL注入攻击常见方式及测试方法
一个准备迈入社会的white的博客
06-24 4397
SQL注入攻击常见方式及测试方法
常见SQL注入攻击方式
Jo_kong的博客
11-21 8811
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入,让小伙伴有个了解。了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,好啦,话不多说,进入正题~ 如何理解SQL注入攻击)? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)...
SQL注入攻击的手段与防范
Noobfurid的博客
05-16 1735
SQL注入攻击是一种常见的网络攻击,它利用应用程序中存在的安全漏洞,通过将恶意的SQL语句插入到应用程序的输入字段中,从而获得对数据库的非法访问。攻击者可以通过在应用程序的输入字段中插入特定的SQL代码,使得应用程序在处理输入时执行该代码。这种攻击可以导致应用程序执行恶意的SQL查询,从而获取敏感信息、更改、删除或添加数据库中的数据,甚至完全接管应用程序。
SQL注入常见的攻击方法(一)
ThegreatHaige的博客
10-22 3923
sql注入 一.基本概述及分析 定义:SQL 注入SQL Injection)是发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。 利用条件分析: 可控参数 参数与数据库之间具有传入 回显 <?php header("Con
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 810
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx中防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx中防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
SQL注入攻击原理以及基本方法
热门推荐
Toby的博客
10-07 8万+
一、SQL注入的概述 定义:SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。                                     为了更直观的让大家了解到sql注入的原理,贴上一张sql注入攻击示意图
SQL注入攻击详解
谢世杰的博客
03-03 7891
一、什么是SQL注入 SQL 注入SQLi)是一种注入攻击,,可以执行恶意 SQL 语句。它通过将任意 SQL 代码插入数据库查询,使攻击者能够完全控制 Web 应用程序后面的数据库服务器。攻击者可以使用 SQL 注入漏洞绕过应用程序安全措施;可以绕过网页或 Web 应用程序的身份验证和授权,并检索整个 SQL 数据库的内容;还可以使用 SQL 注入来添加,修改和删除数据库中的记录。 SQL 注...
简单的sql注入攻击 教程(小白 )
有一棵枣树在庭前
04-30 1万+
SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 以下是整理网上教程所得出的,如有误,非常感谢指出
SQL 注入原理
闪亮滴眼露
02-01 1703
SQL 注入是一种攻击方式,在这种攻击方式中,恶意代码被插入到字符串中,然后将该字符串传递到 SQL Server 的实例以进行分析和执行。任何构成 SQL 语句的过程都应进行注入漏洞检查,因为 SQL Server 将执行其接收到的所有语法有效的查询。一个有经验的、坚定的攻击者甚至可以操作参数化数据。SQL 注入的主要形式包括直接将代码插入到与 SQL 命令串联在一起并使其得以执行的用户输入
sql注入攻击(三)sql注入解决办法
cuiyaoqiang的博客
06-11 3330
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。  如果一个普通用户在使用查询语句中嵌入另一个Dr
Web安全之SQL注入攻击技巧与防范
bitcarmanlee的博客
03-21 2439
在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限。在Web发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全问题认知不足导致很多”安全血案”的发生,至今仍然遗留下许多历史问题,比如PHP语言至今仍然无法从语言本身杜绝「文件包含漏洞」(参见这里),只能依靠工程师良好的代码规范和
SQL注入攻击
pairsfish的专栏(你知道东方在哪一边)
09-28 1472
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的
SQL注入攻击常见方式及预防方法
Hehuyi_In的博客
08-13 1万+
开发同事反馈有系统收到SQL注入的风险告警,整理一下SQL注入攻击常见方式及预防方法。 SQL注入攻击是输入参数未经过滤,直接拼接到SQL语句当中解析,执行达到开发者预想之外行为的攻击方式。 下面是网上找到的例子 一、如何进行SQL注入攻击 以php编程语言、mysql数据库为例,介绍一下SQL注入攻击的构造技巧、构造方法 1. 数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,正常情况下,应该返回一个id=1的文章信息。这是一个get型接口,发送..
SQL注入攻击实例讲解
体会技术牛人的高傲
11-08 1665
 刚刚高中的一位同学问我一道笔试题:请简述SQL注入攻击及其原理。 (Q:攻击?难道是做黑可吗??)可以把这种行为理解成黑客行径,因为这样做的目的就是“非法获取”。 (Q:怎么做?)可以按照我下面的步骤一步一步来,大家也就当一回“黑客”了。(P.S. 这可是我“独家研制”的啊~) string starFire = "星火" ; // 瞧我C#学的多好《starFire英语》大家都应该了解吧(别
SQL注入攻击常见方法和技巧
雪候鸟
08-31 2872
SQL注入攻击常见方法和技巧知己知披 方能百战百胜;“黑客”们采用的攻击方法雷同,下面是我挑选的一些具有代表性的攻击方法,分析这些方法有助于程序员们编写更少漏洞的程序。跨站式SQL注入数据库攻击和防范技巧前一阶段,在尝试攻击一个网站的时候,发现对方的系统已经屏蔽了错误信息,用的也是普通的帐号连接的数据库,系统也是打了全部的补丁这样要攻击注入是比较麻烦的。因此我自己搞了一种“跨站式SQL注入”。  
sql注入攻击实例mysql_SQL 注入攻击案例
weixin_35569211的博客
01-19 2391
一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结一、检测注入点首先,在http://120.203.13.75:6815/?id=1目标站点页面发现了?id,说明可以通过查询id=1的内容来获得页面。这相当于查询语句:select * from [表名] where id = '1';二、判断是否存在 SQL 注入可能...
如何防止SQL注入攻击
最新发布
03-04
防止SQL注入攻击是非常重要的,以下是一些常见的防御措施: 1. 使用参数化查询或预编译语句:使用参数化查询可以将用户输入的数据与SQL语句分开处理,从而避免了直接将用户输入拼接到SQL语句中的风险。 2. 输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值