浅识SQL注入

最新推荐文章于 2022-10-17 20:03:11 发布
最新推荐文章于 2022-10-17 20:03:11 发布
阅读量587 收藏
点赞数 1
分类专栏: 编程菜鸟养成记 文章标签: SQL 注入 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrBaymax/article/details/77927474
版权

简介:

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

实例:

方式:

在登录界面,要求输入用户名以及密码,可以按照下面方式实现免账号登录:

在用户名中输入(键入或者粘贴):“'or 1 = 1 -”

密码:“”

在未经过处理的系统中,非法用户就可以登录进去。

分析:

从理论上说,后台认证程序中会有如下的SQL语句:
 

String sql = "select * from user_table where username=
' "+userName+" ' and password=' "+password+" '";


当输入了上面的用户名和密码,上面的SQL语句变成:

 

 

 

SELECT * FROM user_table WHERE username=
'’or 1 = 1 -- and password='’

 


分析SQL语句:
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;
然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
这还是比较温柔的,如果是执行

 

 

 

 

SELECT * FROM user_table WHERE
username='' ;DROP DATABASE (DB Name) --' and password=''

那不就是呵呵了呀。

解决方案:

限制特殊字符输入:

Private Sub txtusername_Change() 
Dim s As String 
Dim ss As Long 
Dim l As Long 
Dim i As Long 

s = ",。、;’【】·!@#¥%……&*()——+|~《》?:“{}',.;\/:*?""<>|{}[]!@#$%$^&()~`_-+=" '需要禁止的字符都放这里

ss = txtusername.SelStart 'selstart是选中文本的开始位置 

For i = 1 To Len(s) 'len(s)求s的长度 
l = Len(txtusername.Text) 
txtusername.Text = Replace(txtusername.Text, Mid(s, i, 1), "") 'replace是SQL语句里面的替换,把txtusername.text里面的mid(s,i,l)替换为“” 
'Mid就是从一个字符串中取子字符串,比如a="aabbcc",我们想取出"bb"就可以用Mid("aabbcc",3,2) 
Next 
txtusername.SelStart = ss 
End Sub

禁止右键:

在VB中过程中添加以下代码:

Private Declare Function SetWindowText Lib "user32" Alias "SetWindowTextA" (ByVal hwnd As Long, ByVal lpString As String) As Long
Private Declare Function CallWindowProc Lib "user32" Alias "CallWindowProcA" (ByVal lpPrevWndFunc As Long, ByVal hwnd As Long, ByVal Msg As Long, ByVal wParam As Long, ByVal lParam As Long) As Long
Private Declare Function GetWindowLong Lib "user32" Alias "GetWindowLongA" (ByVal hwnd As Long, ByVal nIndex As Long) As Long
Private Declare Function SetWindowLong Lib "user32" Alias "SetWindowLongA" (ByVal hwnd As Long, ByVal nIndex As Long, ByVal dwNewLong As Long) As Long
Private Const GWL_WNDPROC = (-4)
Private Const WM_CUT = &H300                                                    '-------------剪切消息
Private Const WM_COPY As Long = &H301                                           '-------------复制消息
Private Const WM_PASTE As Long = &H302                                          '-------------粘贴消息
Private Const WM_CLEAR = &H303                                                  '-------------删除消息[右键菜单的删除]
Private Const EM_UNDO = &HC7                                                    '-------------撤销消息
Private Const WM_CONTEXTMENU = &H7B                                             '-------------右键菜单
Private prevWndProc     As Long

在有需要的窗体中添加以下事件:

Private Sub Form_Load()
    DisableAbility txtUserName
    DisableAbility txtPassword
End Sub

为什么禁止右键呢,因为有的人或许不采用第一种方案,而是利用ASCII码对输入的内容进行了限制(额,这是在说我),虽然没有办法在用键盘输入特殊字符,但是我有Ctrl+V还有右键呀!

拓展内容:

防止SQL注入的五种方法:

防止SQL注入的五种方法

根本方案:

SQL参数化查询

上面的我是不明觉厉的!

 


 

 

 

张志帅‍
关注
专栏目录
浅识 SQL 注入
2201_75857869的博客
01-13 170
什么是 SQL 注入?通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。对于 Web 应用程序而言,用户核心数据存储在数据库中,如 MySQLSQL Server,Oracle;通过 SQL 注入攻击,可以获取,修改,删除数据库信息,并且通过提权来控制 Web 服务器等;SQL 注入由研究员 Rain Forest Puppy 发现,在1998年对外发表文章《NT Web Technology Vulnerabilities》
有感 Visual Studio 2015 RTM 简介 - 八年后回归 Dot Net,终于迎来了 Mvc 时代,盼走了 Web 窗体时代
太阳火神的美丽人生
01-03 5471
有感 Visual Studio 2015 RTM 简介 - 八年后回归 Dot Net,终于迎来了 Mvc 时代,盼走了 Web 窗体时代
ASP.NET(VB.NET)防SQL注入脚本程序.rar
07-09
针对ASP.NET(vb.net)下防SQL注入
Sql server之sql注入
chinaherolts2008的博客
07-27 220
SQL Injection 关于sqlsql教程入的危害java基础教程在这里python基础教程就不多做c#教程介绍了,相信vb.net教程大家也知道其中的厉害关系。有一些sql注入的事件大家感兴趣可以看一下 防范sql注入的方法无非有以下几种: 1.使用类型安全SQL参数 2.使用参数化输入存储过程 3.使用参数集合与动态SQL 4.输入滤波 5.过滤LIKE条款的特殊字符 ...如果有遗漏的也欢迎园子的大大们指教。 Sample: var Shipcity; ShipCity =
sql注入操作系统_OSQuery:使用SQL探索您的操作系统
culi3118的博客
08-21 417
sql注入操作系统If the title sounds like a confusing hoax, that’s understandable – but it’s very, very real. In an announcement on October 30th, Facebook released OSQuery – a new way to inspect the current s...
asp.net 以及vb ---- sql注入方法
06-25
强烈建议在数据库处调用,检测前台get或post以及cookies的请求,建议使用时放入Global.asax中的Application_Beginrequest方法中使用。 同是初学者,还望相互交流、帮助。
谈谈我对SQL 注入的理解
Agnes-井朝
08-10 2196
要说SQL注入还是要感谢我师傅的,听他说在程序开发过程中,我们经常会遇到SQL注入问题,也就是指令隐码攻击。       再说通俗点就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。       想要避免SQL注入,在网上的答案也是五花八门,毕竟要站在巨人肩膀上学习,也要注重总结,下面就是我对避免SQL
java面试题及答案2022,java2022最新面试题及答案
javalingyu的博客
04-13 953
发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题大全,希望对大家有帮助哈~ 本套Java面试题大全,全的不能再全,哈哈~ 一、Java 基础 1. JDK 和 JRE 有什么区别? JDK:Java Development Kit 的简称,java 开发工具包,提供了 java 的开发环境和运行环境。 JRE:Java Runtime Environment 的简称,java 运行环境,为 java 的运行提供了所需环境。 具体来说 JDK 其实包含了 JRE
黑客零基础入门 | 网络安全
HBohan的博客
11-11 5628
【学习资料】 导语 什么是Web安全?我又该如何入门学习它呢?学习过程中又应注意哪些问题呢?...或许你的心中有着这样的疑问、不过别着急,本文会为你一一解答这些问题。 正文 定义 Web安全,顾名思义便是由保障Web应用能够持续安全运行而衍生出的一个分支领域。 Web应用指的是一个网站的前端页面到后端服务,可以粗略的理解为一个网站及其配套的相关服务,该领域中常见的漏洞有SQL注入漏洞,XSS漏洞,CSRF漏洞等等,漏洞种类多样,趣味性强,较为适合新手入门。 下面为你介绍Web安全方面的常.
一些不错的网页
墨鱼菜鸡
12-06 2402
http://www.zhengdazhi.com/archives/1749 书签栏 信息收集 二级域名查询,子域名查询-站长帮手网 ZoomEye - Cyberspace Search Engine 360威胁情报中心 SSL证书在线检测工具-中国数字证书CHINASSL ...
vb WebBrowser屏蔽右键
10-17
vb WebBrowser屏蔽右键 vb WebBrowser屏蔽右键
SQL注入详解
m0_37671741的博客
08-04 410
一、什么是SQL注入 SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击方式。 select * from table where name="+appName+" 攻击者利用appName参数值的输入,来生成恶意的SQL语句,比如将or ‘1’=‘1’这样的语句传入,即可在数据库中恶意执行。 SQL注入的产生原因: web开发人员无法保证所有的输入数据都已经过滤 攻击者利用发送给SQL服务器的输入数据构造可执行的代码 数据库未做相应的安全配置,比如对web
【实训04】数据库SQL注入漏洞
最新发布
qq_62277763的博客
10-17 1833
【实训04】数据库SQL注入漏洞
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6618
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
转:PHP中防止SQL注入的方法
weixin_34258838的博客
10-08 777
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
VB数据库操作---ADODB.Command 终结所有SQL注入
anlei2455的博客
04-29 503
演示了command的使用。另外还有设置参数,防止注入,不太明白。 http://blog.csdn.net/kj021320/article/details/1689960 通常为了省事 程序员都喜欢直接采用Connection的execute方法,SQL是拼凑出来的!当然很容易出现问题了~~而很多人都知道 Command可以用来执行存储过程 其实Command 直接执...
防止SQL注入攻击-学习笔记
guishifoxin的博客
07-18 8626
所谓SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应有程序,将(恶意的)SQL命令注入后台数据库引擎执行的能力,它可以通过在web 表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是比较常见的网络攻击方式之一,它不是利用...
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值