记一次老项目的SQL注入处理

最新推荐文章于 2022-09-04 11:13:43 发布
最新推荐文章于 2022-09-04 11:13:43 发布
阅读量176 收藏
点赞数
分类专栏: 踩坑记录 文章标签: sql tomcat mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hireek/article/details/120739984
版权

问题:sql注入被工信部通报,我们查询接口发现是一个拼接sql,项目有很老的历史,致命缺点:版本未管理,没有线上的最新代码。
架构:tomcat+mysql+spring
解决措施:添加sql注入拦截器。替换线上的class文件。
测试工具:sqlmap。

坑1:tomcat服务器存在缓存,无法更新最新的class文件。https://blog.csdn.net/nlznlz/article/details/77623379
2:sqlmap自带缓存。

缓存未刷新,导致无法获取最新数据。

Hireek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次我的漏洞挖掘实战——某公司的SQL注入漏洞
PICACHU+++的博客
05-02 4468
我是在漏洞盒子上提交的漏洞,上面有一个项目叫做公益SRC。公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。SQL注入的防御方法很多,也是生常谈的问题。
PHP+MysqlSQL注入源码 下载
02-11
SQL注入是一种常见的网络安全威胁,攻击者可以通过输入恶意的SQL语句来获取、修改、删除数据库中的敏感信息。 【描述】中多次提及“PHP+MysqlSQL注入源码 下载”,这暗示了该资源可能是用于教育或测试目的,帮助...
[SQL注入] 报错注入
weixin_43586169的博客
05-07 1631
详细描述了SQL注入的四大基本手法中的报错注入的使用
sql 拼接int类型的字段_SQL注入小结
weixin_39554021的博客
11-16 368
在实习的渗透测试项目中,遇到的数据库系统绝大部分是SQL Server。也算是了解和熟悉Mssql 的一个重要过程吧。获取某数据库的所有表(假设库名为fooDB)–XType=’U':表示所有用户表;–XType=’S':表示所有系统表;SELECTname FROM fooDB..sysobjects Where xtype=’U';获取某表所有字段名(假设表名为fooTable)SELECTn...
简单三步走堵死SQLServer注入漏洞
yzc的专栏
01-16 1235
                           简单三步走堵死SQLServer注入漏洞                                     2006.01.16  来自:赛迪SQL注入是什么?        许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www
SQL注入专题
weixin_51276063的博客
09-04 1073
sql注入专题
SSM项目整合第一次修改
02-13
在这个"SSM项目整合第一次修改"中,我们主要探讨的是如何将这三个框架进行有效的集成,以实现高效、灵活的后端业务逻辑处理。 首先,Spring框架作为基础,它提供了依赖注入(Dependency Injection,DI)和面向切面...
java毕设课设基于SSM论坛BBS网站管理系统项目源码+数据库sql
07-14
11. **安全性考虑**:可能包括了身份验证和授权机制,防止未授权访问,以及防止SQL注入、跨站脚本攻击(XSS)等安全问题。 综上所述,这个项目涵盖了Java Web开发的多个重要方面,对学习和理解SSM框架以及相关技术...
IIS日志分析 sql注入
06-22
SQL注入攻击主要利用的是应用程序对用户输入数据的不恰当处理。当用户输入的数据被直接拼接到SQL查询中时,如果没有进行充分的验证和转义,就可能导致注入。攻击者可以通过构造特定的输入,执行恶意的SQL命令,例如...
struts 一次更新多条录 例子
03-11
你可以通过预编译的PreparedStatement来执行这个SQL,以防止SQL注入。 在服务层完成更新后,我们返回一个ActionForward,指示视图层跳转到成功页面或者错误页面,根据执行情况显示相应的反馈信息。 总之,通过...
SQL通用防注入系统3.2 beta
08-27
2.0增强版 增加了自动封注入者Ip功能,使注入者不能再访问本站! 3.0版 在2.0增强版的基础上,加入了后台管理功能: 可以查看入侵者提交数据录功能,解除对注入者ip封锁,以及删除注入录功能! 3.0修正版 修正了封ip的一个Bug! 3.0正式版 针对用户提出的问题做了一点补充! 3.1 β版 加入对cookie部分的过滤,加入了对用js书写的asp程序的支持,加入了对安全表单的取消过滤! 3.1 最终纪念版, * 对于3.1beta版中由于加入的对于js程序过滤的功能而引起的安全问题做了修正。 * 对于3.1beta版可能引起的跨站攻击做了修正。 * 将3.1beta版中的安全表单升级为安全页面,使程序的针对性更强,下面将做演示! * 如无大的问题,此版本为最终纪念版,以后本人将不再对此程序做更新! 3.2版 beta,更新了Option Explicit选项打开系统无法正常使用的bug 3.2版 beta 20080820,修补一处错误导致阻止ip无法使用,^_^
一次前后端开发的入门培训.zip
最新发布
04-03
在“一次前后端开发的入门培训.zip”这个压缩包文件中,我们可以推测这是一份关于初学者如何踏入前后端开发领域的教程资料。这个培训可能涵盖了基础理论、实践技巧以及项目经验分享等内容,旨在帮助新手快速理解并...
易语言SQL建库建表源码.zip易语言项目例子源码下载
03-23
8. **游标使用**:在处理大量数据时,游标允许程序逐条处理结果集,而不仅仅是一次性获取所有数据。 9. **存储过程和函数**:高级的数据库操作可能涉及到存储过程和自定义函数的编写,这些在SQL中可以封装复杂逻辑...
sqlSQL命令
02-06
预备语句是SQL的一个重要特性,可防止SQL注入攻击。在PDO中,我们可以创建一个预备语句,然后多次绑定参数并执行,提高效率且保证安全性。 3. **PDO预处理语句的使用** - **预编译**:使用`PDO::prepare()`方法...
SQL通用防注入程序零点完美版 -ASP源码.zip
12-13
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵或获取数据库中的敏感信息。针对这种情况,开发者通常会采用...同时,这也是一次学习和实践Web安全的好机会,加深对SQL注入防御策略的理解。
Web安全实验:SQL注入
Study_2018的博客
10-31 376
一、实验要求 实验(2) 实验名称 SQL注入攻击 学时数 4时数 实验类型 V验证性 V设计性 □综合性 每组人数 2人 难度 中等 覆盖知识点 ...
sql注入思路(登录界面)和网络常用端口
u011975363的专栏
04-11 7358
当遇到如图的界面时,没有验证码,我们可以尝试以下几种方法进行SQL注入,以获得正确的登录账户和密码。 要搜索类似的页面可利用百度高级搜索语法:admin inurl:login.php/asp 注入的方法: 1、利用sqlmap (1)sqlmap 和burpsuite相结合,利用burpsuite捕获post数据包,保存为:packet.txt, 从用户名或者密码中任选一个...
SQL注入以及解决方法
阳young的博客
01-26 7987
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
WEB-漏洞总结(sql注入详解)
热门推荐
qq_50643984的博客
03-24 1万+
SQL注入 sql注入分类 1.post注入,get注入,cookie注入,http头注入(可能user-agent存在注入) 2.数字型注入,字符型注入(类似一个int,一个chr) 3.盲注:布尔盲注,时间盲注 报错注入:利用报错函数,常见报错函数 ...
php录用户id地址访问次数,如果短时间一分钟内10次访问就禁止过了一分钟可以继续,把这些信息存在数据库中
07-15
你可以使用 PHP 来录用户的 IP 地址访问次数,并在一分钟内超过10次访问时禁止访问。下面是一个简单的示例代码,可以将这些信息存储在数据库中: 首先,创建一个数据库表来存储用户的 IP 地址和访问次数信息。你可以使用以下 SQL 语句在数据库中创建表: ```sql CREATE TABLE `user_access` ( `id` INT AUTO_INCREMENT PRIMARY KEY, `ip_address` VARCHAR(255) NOT NULL, `access_count` INT DEFAULT 0, `last_access_time` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP ); ``` 然后,使用以下 PHP 代码来录用户的访问次数和判断是否需要禁止访问: ```php <?php // 连接到数据库 $hostname = '数据库主机名'; $username = '数据库用户名'; $password = '数据库密码'; $dbname = '数据库名'; $conn = new mysqli($hostname, $username, $password, $dbname); if ($conn->connect_error) { die('数据库连接失败: ' . $conn->connect_error); } // 获取用户的 IP 地址 $ip = $_SERVER['REMOTE_ADDR']; // 检查用户的访问录 $sql = "SELECT * FROM user_access WHERE ip_address = '$ip'"; $result = $conn->query($sql); if ($result->num_rows > 0) { // 用户已有访问录,更新访问次数和最后访问时间 $row = $result->fetch_assoc(); $accessCount = $row['access_count'] + 1; $lastAccessTime = $row['last_access_time']; // 检查是否需要禁止访问 $currentTime = date('Y-m-d H:i:s'); $timeDiff = strtotime($currentTime) - strtotime($lastAccessTime); if ($timeDiff < 60 && $accessCount > 10) { // 短时间内超过10次访问,禁止访问 die('访问频率过高,请稍后再试。'); } // 更新访问次数和最后访问时间 $sql = "UPDATE user_access SET access_count = $accessCount, last_access_time = '$currentTime' WHERE ip_address = '$ip'"; $conn->query($sql); } else { // 用户没有访问录,插入新录 $sql = "INSERT INTO user_access (ip_address, access_count) VALUES ('$ip', 1)"; $conn->query($sql); } // 关闭数据库连接 $conn->close(); ?> ``` 请注意,上述代码只是一个简单的示例,并没有进行安全性验证和防止 SQL 注入的处理。在实际项目中,你需要对代码进行适当的改进和增强,以确保安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值