浅谈防御sql注入_encodeforsql-CSDN博客

本文链接：https://blog.csdn.net/Reme_mber/article/details/123330569

本文介绍了防止SQL注入的各种方法，包括SQL预编译、规定变量格式、过滤字符串与正则、关闭PDO特定功能以及转义特殊字符。通过实例展示了如何使用PreparedStatement、自定义函数、安全编码函数以及正则过滤来增强SQL查询的安全性，从而有效防御SQL注入攻击。

摘要由CSDN通过智能技术生成

文章目录

前言
防御手段

前言

文章同步于我的个人博客https://quan9i.top/sqlprotect/中，欢迎大家访问
众所周知，sql注入是比较常见的一种攻击方式，我们通常学习了很多攻击手段，例如联合查询，二次注入，报错注入，布尔盲注，时间盲注等等，但我们此时仅仅学会了如何得到数据，那如果反过来，让我们保护数据，此时该如何防御sql注入呢，我浅学了一点，并总结如下，希望能对正在学习sql注入的人有一点帮助.。
博主只是一个小白，如果出现问题还请各位师傅多多指教

防御手段

sql语句预编译

String sql = "select id, no from user where id=?";
      PreparedStatement ps = conn.prepareStatement(sql);
      ps.setInt(1, id);
      ps.executeQuery();

这里运用了PreparedStatement，就已经将语句的格式固定下来了，此时你注入的语句是无法再被当成sql语句来执行的，那些select，order by 都不再奏效，这是简单且较有效防御sql注入的一种方式，较官方的解释如下

其原因就是：采用了PreparedStatement，就会将sql语句："select id, no from user where
 id=?" 预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，
 后面你输入的参数，无论你输入的是什么，都不会影响该sql语句的 语法结构了，因为语法分析已经
 完成了，而语法分析主要是分析sql命令，比如 select ,from ,where ,and, or ,order by 等等。
 所以即使你后面输入了这些sql命令，也不会被当成sql命令来执行了，因为这些sql命令的执行， 必须
 先的通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了，那么后面输入的参数，
  是绝对不可能作为sql命令来执行的，只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。

但是，这种防御方法不适用于那些必须要用的字符串拼接的语句中
参考文章
https://www.cnblogs.com/digdeep/p/4715245.html

规定变量格式

sql语句为

$sql = "select id,no from user where id=" + id;

此时我们可以规定其id的值必须是int型，可以自己定义一个函数，只允许结果是数字，同时设法将那些十六进制，base64编码抵御在外，这时候就可以起到防御作用

$sql1=checknum($sql); //checknum为我们自己设置的自定义函数，用于过滤字母

或者我们也可以利用一些安全函数

   MySQLCodec codec = new MySQLCodec(Mode.STANDARD);
        name = ESAPI.encoder().encodeForSQL(codec, name);
        String sql = "select id,no from user where name=" + name;

函数ESAPI.encoder().encodeForSQL(codec, name)会对变量中的一些特殊字符进行编码，此时sql注入就会失效，从而实现对sql注入的防御

过滤字符串和正则通配符

就像平常中做题一般，我们可以对常用的字母和正则通配符进行过滤，利用preg_match函数

  function waf($str){
    return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select|flag/i', $str);
  }

关闭PDO部分功能

PHP 数据对象（PDO）扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层，这意味着，不管使用哪种数据库，都可以用相同的函数（方法）来查询和获取数据。
小白理解：pdo提供了一个大家都可以查询数据的地方

PDO::ATTR_EMULATE_PREPARES  # 模拟预编译
PDO::ATTR_ERRMODE   # 报错
PDO::MYSQL_ATTR_MULTI_STATEMENTS  # 多语句执行

如果第二个为true，就有可能会被sql注入中的报错注入这种方法所攻击，从而造成数据泄露
如果第一个和三个为true，就存在宽字节+堆叠注入的双重漏洞

转义特殊字符

当存在sql语句时，我们可以利用addslashes函数

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符:  单引号'
			双引号"
			反斜杠\
			NULL

或者我们也可以利用replace对sql注入语句中的部分字母进行转换，使其无法正确执行，从而无法正确进行sql注入，此种方法亦是一种简单且较高效的防御手段