sql防注入几种惯用策略

最新推荐文章于 2024-08-01 20:47:16 发布
最新推荐文章于 2024-08-01 20:47:16 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L_yangliu/article/details/52043459
版权

   所谓sql注入,是由表单提交时,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好防注入操作。关于这个问题,成熟的方案有很多,现在总结如下:

一,从根源上解决问题,也就是在接受表单提交时,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。

二,使用转义,经常用到的函数有:mysql_real_escape_stringphp5已经不用了)和

Addslasher,转义之后,会消除上传参数中一些恶意的特殊符号,如单双引号等等。PHP,有一个魔术引号的概念,如何打开?:PHP.ini,magic_quotes_gpc=On;重启apache即可,没用过,有待验证。关于mysql_real_escape_string有这样的warning:Warning:
As of PHP 5.5.0 mysql_real_escape_string and the mysql extension are deprecated. Please use mysqli extension and mysqli::escape_string function instead 。

所以这里说一下mysqlmysqlipdo的东西:

PHP-MySQL PHP 操作 MySQL 资料库最原始的 Extension PHP-MySQLi i 代表 Improvement ,提更了相对进阶的功能,就 Extension 而言,本身也增加了安全性。而 PDO (PHP Data Object) 则是提供了一个 Abstraction Layer 来操作资料库。

使用mysqli或者使用pdo

 

三,限制引入的参数,就是把接收上来的数据和已知数据进行对比,看是否是合法的。

四,对引入参数进行编码

五,使用MySQL存储过程,没怎么用过,正在研究中.

php语句前加@来抑制错误信息。

杨柳
关注
【2024系统架构设计】案例分析- 1软件架构设计
静谧、淡雅
01-19 468
【2024系统架构设计】案例分析- 1软件架构设计
计算机端口的安全知识大全,整的明明白白!
qq_44814449的博客
03-25 2175
“看了网安众安的这篇计算机端口文章,你要是学不会你来打我……”——鲁迅没有说过 端口是计算机的大门,计算机的安全应该从端口开始说起。关于端口安全知识,我计划从六部分说起:端口的基础知识、端口的使用查看、端口的打开关闭、端口的转发和映射、由端口分析恶意攻击以及常用的端口安全工具。有人问了,为什么要分为六部分?是向六学致敬也要开花吗?可能你看完全文就知道为什么这么“6”了! 一、端口的基础知识 1、什...
浅谈SQL注入御手段
0verWatch的博客
08-02 4849
sql语句预编译 例如: String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery(); 这里采用了PreparedStatement,就会...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6606
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入方法大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
08-01 1593
SQL注入方法小百科某一个数据库的名字,这个数据库十分的特殊,里面存放着,大量的隐私信息information_schema数据库中的一个表schemata表中的一个字段(列),这个字段中记录着所有数据库的名称information_schema数据库中的一个表tables表中的一个字段(对应数据库的名字),这个字段里面记录着所有的数据库的名字tables表中的一个字段(相应数据库中所对应的表名),记录着与table_schema这个字段对应的数据库中对应的表名。
两个SQL注入过滤代码
巅峰测试
08-03 1001
 ASP通用注入代码 您可以把该代码COPY到头文件中.也可以单独作为一个文件存在,每次调用使用 作者:y3gu - 2005-7-29 http://www.dosu.cn
如何SQL注入 http://zhangzhaoaaa.iteye.com/blog/1975932
weixin_34128839的博客
05-29 134
如何SQL注入 博客分类: 技术转载数据库 转自:http://021.net/vpsfaq/152.html -----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement.. ------解决...
SQL注入的五种方法
chenyuanyuan1992的博客
05-29 358
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台...
软件测试面试有那么难吗?这些面试题你能回答出几个_应届生软件测试面试难吗
2301_82257383的博客
04-20 803
两者的关系是什么?**为实施测试而向被测试系统提供的输入数据、操作或各种环境设置以及期望结果的一个特定的集合。测试脚本是为了进行自动化测试而编写的脚本。测试脚本的编写必须对应相应的测试用例。
2、测试面试题总结整理
qq_45778920的博客
08-08 3753
分享学习,享受快乐(*^▽^*)
SQLAlchemy
06-16
2. 安全性:通过使用SQLAlchemy,开发者可以避免SQL注入等安全风险。这是因为它提供了参数化的查询机制,这比直接插入字符串的原始SQL语句更加安全。 3. 代码可移植性:SQLAlchemy的查询对象是抽象的,这意味着它们...
安全网站策略之_SQL注入
04-05
NULL 博文链接:https://lvhuiqing.iteye.com/blog/1537285
网站注入SQL攻击护办法
网站安全专家
02-04 500
能否理解并利用SQL首注是区分一般攻击者和专业攻击者的一个标准。面对严密禁用详细错误消息的御,大多数新手会转向下一目标。但攻破SQL盲注漏洞并非绝无可能,我们可借助很多技术。它们允许攻击者利用时间、响应和非主流通道(比如DNS)来提取数据。以SQL查询方式提问一个返回TRUE或FALSE的简单问题并重复进行上千次,数据库王国的大门便通常不容易发现SQL盲注漏洞的原因是它们隐藏在暗处。一旦发现漏洞后,我们就会有们能支持多种多样的数据库。大量的漏洞可用。要明确什么时候应选择基于响应而非时间的利用和什么时候使用
注入
yanick技术博客
09-01 709
string sql = "insert into 表名 values(@字段)";SqlParameter s = new SqlParameter("@字段", FileByteArray);SqlCommand cmd = new SqlCommand(sql, conn);//conn为SqlConnection实例对象cmd.Parameters.Add(s);conn.Open();c
sql注入
jakeswang的博客
05-31 585
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名 例子:(传入值为id) order by ${param} 则解析成的sql为: order by id #{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号 例子:(传入值为id) select * from table where name = #{param}
SQL 注入御方法总结
BlankTe的博客
09-25 435
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。 演示下经典的SQL注入 我们看到:select id,no from us
注入】实践有效的网站SQL注入(一)
MSDA的专栏
03-29 1487
几年前,网站中大多数都存在sql注入sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的范和发掘不够深造成的,这里我把sql
简单sql注入
不懂love的博客
10-25 464
一、止文本框注入js代码: //SQL注入 function AntiSqlValid(oField) { re = /select|update|delete|exec|count|'|"|=|;|>| if (re.test(oField.value)) { alert("请您不要在参数
mysql注入式攻击_谈谈 SQL 注入式攻击策略
weixin_30477489的博客
02-02 86
SQL 注入式攻击是指利用设计上的漏洞, 在目标服务器上运行 SQL 命令以及进行其他方式的攻击, 动态生成 SQL 语句时没有对用户输入的数据进行验证. SQL 注入式攻击是一各常规性的攻击, 可以允许一些不法用户检索他人的数据或改变服务器的设置或者在他人不小心的时候破坏其服务器. SQL 注入式攻击不是 SQL Server 问题, 而是不适当的程序.要SQL 注入式攻击, 应该注意以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值