Android平台防止SQL注入

最新推荐文章于 2024-03-25 09:00:21 发布
最新推荐文章于 2024-03-25 09:00:21 发布
阅读量6.7k 收藏 2
点赞数 1
分类专栏: APP安全 文章标签: android 数据库 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tobi2015/article/details/52404036
版权

sql注入其实就是在某些不安全控件内输入sql或其他数据库的一些语句,从而达到欺骗服务器执行恶意代码影响到数据库的数据。防止sql注入,可以在接受不安全空间的内容时过滤掉接受字符串内的特殊字符,那么他不再是一条sql语句,而是一个类似sql语句的字符串,执行后也不会对数据库有破坏。 如:—–

username = request("username") //获取用户名 这里是通过URL传值获取的

password = request("password") //获取密码 也是通过URL传值获取的

此时sql="select * from user where username = '" & username & "' and password = '" & password & "'"

如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用’or 1 or ‘,

那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"

显然1是恒真的,那么验证密码就通过了。成功登陆后台管理后,接下来就可以任意进行破坏行为,如篡改网页、上传木马、修改、泄漏用户信息等,并进一步入侵数据库服务器,后果是十分严重的。

那么怎么防止SQL注入呢?

所有的SQL注入都是从用户的输入开始的。如果你对所有用户输入进行了判定和过滤,就可以防止SQL注入了。 防止的方式比较多,比如可以限制username,password中出现”’”等特殊字符,一般网站都是只允许数字,字符,下划线的组合,这可以通过javascript验证。也可以采取用存储过程代替sql拼接等等。

那么如何使APP的数据库使用更安全?
  1. 不直接使用原始SQL语句,而是使用具备预编译参数能力的SQL API;
  2. 如果一定要使用原始SQL语句,语句中不应有进行任何字符串拼接的操作;
  3. 如非必要,记得主动调用SQL API关闭动态加载扩展的能力;
  4. 使用数据加密(如SqlCipher)扩展SQLite数据存储的安全性,之前博客有专门介绍SqlCipher的使用的。详见:http://blog.csdn.net/tobi2015/article/details/51077314
Tobi1025
关注
专栏目录
Android可能出现的SQL注入以及防范,研发4面真题解析(Android岗)
m0_64603776的博客
12-08 873
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQLite数据库SQL注入 不只是常见的mysql,oracle数据库,SQLite数据库如果出现sql语句书写不规范,也可能出现SQL注入。以下是一个登录功能的代.
Android可能出现的SQL注入以及防范
qq_36664097的博客
05-29 1644
Android可能出现的SQL注入以及防范什么是SQL注入SQLite数据库SQL注入如何防止SQL注入小结 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个...
android sql注入工具,防sql注入的过滤器
weixin_35660038的博客
05-26 479
首先在web.xml中配置antiSqlInjectioncom.usermanage.util.AntiSqlInjectionfilterantiSqlInjection/*2.具体逻辑实现package com.usermanage.util;import java.io.IOException;import java.util.Enumeration;import javax.servle...
java sqlite 反注入_SQLite 防注入
weixin_31434215的博客
02-16 182
如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉中在数据库上运行。永远不要相信用户提供的数据,所以只处理通过验证的数据,这项...
Android解决数据库注入漏洞风险的demo
04-06
一个Android的demo工程,演示了如何解决数据库注入漏洞问题。 针对3种查询:rawQuery,query,以及LitePal的查询。 更详细的说明,参见相关博客文章:https://blog.csdn.net/lintax/article/details/79831376
参数化查询为什么能够防止SQL注入
01-30
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
Android游戏SQL注入,关于Android contentprovider sql注入问题
weixin_39603908的博客
05-29 706
问题的引出说到SQL注入,我们常说不使用字符串拼接,使用带占位符的参数化查询可以防SQL注入,那么,在Android content provider中是否也一样呢?下面我们来看一段android contentprovider中的数据库查询代码示例:public void showBooks(View view) {String content = "";Uri bookUri = BookPr...
Android应用中SQL注入漏洞静态检测方法.pdf
09-19
总的来说,《Android应用中SQL注入漏洞静态检测方法》为Android应用的安全保障提供了一种有效的解决方案,对于开发者和安全研究人员来说,是理解和防止此类漏洞的重要参考资料。同时,文中提到的方法和实验结果也对...
分析Android应用中SQL注入漏洞静态检测方法.pdf
09-19
本文主要探讨了在Android应用系统中如何通过静态检测方法分析并防止SQL注入漏洞的产生。SQL注入是一种常见的网络攻击技术,攻击者通过在SQL命令中嵌入恶意代码,破坏原有数据库查询,最终达到窃取敏感数据、篡改...
Android通过webservice连接Sqlserver实例
12-02
同时,对用户输入进行验证,防止SQL注入攻击。 在提供的压缩包文件中,"StockManageWebservice"和"StockManagement"可能是相关的源代码示例。"StockManageWebservice"可能包含服务器端的WebService实现,用于管理...
Android本地注入事件
08-29
Android系统是在Linux 2.6版本上开发的,所以起使用设备驱动 /dev/input/event X (x为0到7)分别来映射不同事件。
like 语法防止 SQL注入
weixin_44609018的博客
06-02 930
like 语法防止 SQL注入 Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: select * from t_user where name like '%' || #{name} || '%' SQLServer: select * from t_user where name like '%' + #{name} + '%'
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2532
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
android防代码注入,android如何防止注入呢?
weixin_31920157的博客
05-26 1593
本博客前面写有注入方法,学会注入的朋友可能就想保护好自己的程序不被其它程序注入、修改。在此,说说android如何防止注入。要防注入,肯定是要先防ptrace,注入是通过它完成的,如果把它干掉的话那么就不存在注入啦。那么总结有以下三种方法1.ptrace附加失败。2.修改linker中的dlopen函数,防止第三方so加载。3.定时检测应用加载的第三方so库,如果发现是被注入的so,卸载加载的so...
如何有效防止SQL注入
GentleSadness的博客
10-24 1645
参数化查询
SQLite学习(十)SQLite的注入问题的防范、数据库文件导入和导出
Designer 小郑的技术博客
05-12 3140
本文讲解了SQLite中的SQL注入问题,以及SQLite中数据备份、数据还原、导出SQL文件的方法,用最简单的方法做最通俗的教学!
Android解决数据库注入漏洞风险
lintax的专栏
04-06 8054
在app功能开发完成,提交应用市场时,竟然报高风险,有数据库注入漏洞!什么是数据库注入漏洞,又是怎么检测出来的,要怎样防止呢?SQL注入漏洞检测方式说明:主要就是检测,是否在query()中使用拼接字符串组成SQL语句的形式去查询数据库,此时容易发生SQL注入攻击。举一个例子:有一个输入用户名的EditText,我们在查询数据库的时候使用到了它,是这么使用的:String sql = "SELEC...
Android可能出现的SQL注入以及防范(1),Android开发究竟该如何学习
最新发布
m0_61549353的博客
03-25 1076
光有这些思路和搞懂单个知识的应用是还远远不够的,在Android开源框架设计思想中的知识点还是比较多的,想要搞懂还得学会整理和规划:我们常见的**Android热修复框架、插件化框架、组件化框架、图片加载框架、网络访问框架、RxJava响应式编程框架、IOC依赖注入框架、最近架构组件Jetpack等等Android第三方开源框架,**这些都是属于Android开源框架设计思想的。如下图所示:这位阿里P8大佬针对以上知识点,熬夜整理出了一本长达1042页的完整版如何解读开源框架设计思想。
SQL注入这个坑
阴山隐修者
01-09 1945
SQL注入是一个老话题,没想到今天有同事在android framework踩到了这个坑,mark下。 业务需求要修改查询mmssms.db的一张表canonical_addresses,看到代码有点懵圈,类似如下: ContentResolver cr = this.getContentResolver(); Curso
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值