如何防止sql注入(全)

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量8.7k 收藏 14
点赞数
分类专栏: java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Darkjazz11/article/details/86535904
版权

定义:以用户或者外部的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令,泄露或者篡改SQL数据库的敏感数据。

基本例子:
原sql:String name = request.getParameter("name"); … ResultSet rs = conn.createStatement().executeQuery("SELECT Data FROM Users WHERE Name = '"+name+"'");

篡改后:ResultSet rs = conn.createStatement().executeQuery("SELECT Data FROM Users WHERE Name = ‘joe’ or ‘1’ = ‘1’);


有操作风险的Api函数:
–Statement.execute*
–PreparedStatement.execute*
–CallableStatement.execute*
–JdbcTemplate.query*
–JdbcTemplate.insert
–JdbcTemplate.update
–JdbcTemplate.delete
–JdbcTemplate.execute
–Session.createQuery
– Session.createSQLQuery
–Session.createFilter"


防治思想:
1、输入校验:做好规范的校验工作,比如搜索框不能输入sql语句等;
2、权限控制:在创建一个SQL数据库的用户帐户时,要遵循最低权限法则。用户应只拥有使用其帐户的必要的最低特权。如果系统显示需要用户可以读取和修改自己的数据,那么应该限制其特权,使他们无法读取/编写别人的数据。
3、重复校验:在服务器端重复客户端所进行的所有过滤。(黑名单验证和白名单验证)
例子:public static void main(String[] args) throws IOException {
String regex = "^[0-9\\-\\. ]+$";
Pattern p = Pattern.compile(regex);
for (int i=0; i < args.length; i++) {
String num = args[i].trim();
Matcher m = p.matcher(num);
if (m.matches()) {
dialNumber(num);
} else {
System.out.println("Not a valid phone number.");
}
}
}
4、动态参数:应使用prepared statements语句绑定变量来执行SQL字符串。没有使用prepared statements语句绑定变量可能很容易受到攻击。
使用严格的白名单型来检查可以用于SOL命令的所有用户输入数据。而不是避开元字符集,完全禁止元字符才是最安全的。原因是:后期对已经被输入数据库的数据进行使用可能将之前使用过的元字符丢弃。应该对request中期望的安全的字符集进行更为精细地定义。

Dark-jazz
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止SQL注入攻击的10种有效方法
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安性。
防止SQL注入的四种方案
dehuisun的专栏
09-05 8612
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6334
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止SQL注入
m0_49521873的博客
05-23 2289
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
2020-10-10
不二的博客
10-10 949
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JDBC-防止SQL注入
m0_63144452的博客
10-25 924
1、什么是sql注入。----->sql拼接安问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2295
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安措施,保障Web应用程序的安性。
四种防止SQL注入的解决方案
最新发布
weixin_43702295的博客
01-11 2656
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
JdbcTemplate防注入的几种方式
热门推荐
夜晓星的博客
01-18 1万+
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
JDBC的两种实现方式及防止sql注入的问题,事务的原子性和一致性问题
weixin_40263829的博客
08-28 180
**实现方式一:**Statement Class.forName("com.mysql.jdbc.Driver");//注册驱动 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/sqltest", "root", "123456");//获得sql数据库连接 Statement statement = conn.createStatement();//获得预编译对象 String sql = "s
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 743
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
怎么防止SQL注入
。。。。
03-21 6832
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
如何避免 SQL 注入
m0_68464502的博客
06-13 1395
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安配置,只有以此为基础的安编程思路才能有效避免此类攻击。
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值