什么是SQL注入?如何防止注入(附例)

最新推荐文章于 2024-03-17 12:15:00 发布
最新推荐文章于 2024-03-17 12:15:00 发布
阅读量584 收藏 3
点赞数
分类专栏: MySQL 文章标签: 数据库 mysql sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vicali/article/details/110672735
版权
  • 注入发生的原因
    当我们使用字符串拼接来传SQL语句而没有使用预编译,用户就可以通过在表单中填写带有SQL关键字的数据来让数据库执行SQL语句。
    SQL 数据库的操作是通过 SQL 语句来执行的,而无论是执行代 码还是数据项都必须写在 SQL 语句之中,这就导致如果我们在输入数据中加入了某些 字符,这些关键字就很可能在数据库写入或读取数据 时得到执行。

注入实例:

用户名:admin
密码:00000

String sql=“select * from users
where username=’”+username+"’ and password=’"+password+"’";

输出的SQL语句在MSQL中为:select * from users where username=‘admin’ and password=‘000000’
在这里插入图片描述
这样看是没有问题的,但是,当我们输入的
username为:"’ or 1=1 or ‘"时:
在MySQL中:select * from users where username=’"’ or 1=1 or ‘"’ and password=‘000000’
在这里插入图片描述
在MySQL中我们可以看到,只通过改变用户名,就能达到改变SQL语句语义的效果,这就是注入。
在这里插入图片描述

如何防止注入

使用预编译
PreparedStatement对象:

  • 防止注入
    继承Statement对象,在Statement对象中的sql语句需要拼接字符串传入,而拼接字符串会有sql
    注入的风险。
    使用Statement子对象PreparedStatement解决sql的注入问题。

  • 性能:
    Statement性能低,因为每次都需要对sql语句重新编译。拼接添加不同的数据的时候,sql语句在发生变化,所以每次只需都需要重新编译。
    PreparedStatement对象:将sql语句中的数据和sql语句进行了分离,值的变化不需要重新编译sql语句,sql语句值需要编译一次,提高程序运行的效率。解决了sql的注入问题。

  • 用法:
    定义sql语句,将值和sql分离,sql中只有只的占位符

String sql=“select * from users where username=? and password=?”;

Statement statement = connection.createStatement();
PreparedStatement pstat=connection.prepareStatement(sql);

给预编译的sql语句中的占位符赋值
参数1:占位符的位置
参数2:站位对应的值

pstat.setString(1, username);
pstat.setString(2, password);

发送执行sql,获得ResultSet返回值对象,该对象封装了查询语句的虚拟表
结果集,resultSet对象相当于一张二维表

ResultSet result = statement.executeQuery(sql);
ResultSet result = pstat.executeQuery();

Vicali
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止sql注入
12-14
发现SQL注入位置;判断服务器类型和后台数据库类型;确定可执行情况  对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。  注入法:  从理论上说,认证网页中会有型如:  ...
数据库注入的防范
zhangshanfeng_的博客
06-17 1186
数据库注入的防范 对于一个项目来说,安全永远是重中之重。没有安全,信息将会泄露,应用的稳定性也堪忧。一个不安全的项目,对一个企业、组织的影响是严重而深远的。轻则麻烦缠身,重则伤筋动骨,甚至濒临倒闭。因此安全很重要。 而数据库注入又是近年来流行的攻击方式,凡是大型应用,很少有不使用数据库的,数据库注入荣登多年OWASP10大安全漏洞榜。因此,做好数据库注入防范十分重要。 下面是有效防范数据库注入的方...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6349
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
【万字长文】SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
03-17 2316
之前一直有粉丝朋友,在挖漏洞过程中使用到SQL注入,希望大白给他讲解一些的SQL注入,今天大白也特地给粉丝朋友安排好了SQL注入攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。
什么是SQL注入?如何避免?
weixin_44943389的博客
07-08 230
SQL注入SQL Injection)是一种常见的安全漏洞,它发生在应用程序未正确过滤、验证或转义用户提供的输入数据时。攻击者可以通过在输入数据中插入恶意的SQL代码,来执行未经授权的数据库操作或绕过访问控制。SQL注入的攻击方式通常是在用户输入的数据中插入特殊字符或SQL语句片段,以改变原始SQL查询的语义。需要强调的是,单一的措施可能无法完全防止SQL注入攻击。最佳实践是采取多层次的安全措施,包括输入验证、参数化查询、最小权限原则和定期安全审查,以确保应用程序和数据库的安全性。
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 3031
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
六个建议防止SQL注入式攻击
cuanji3287的博客
04-20 1634
  一、 SQL注入攻击的简单示。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
JDBC如何有效防止SQL注入
12-14
 那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它...
参数化查询为什么能够防止SQL注入
01-30
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入是什么,怎么防止SQL注入
csdn_4399的博客
08-09 6836
学习目标: 提示:这里可以添加学习目标 如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
如何防止SQL注入
m0_49521873的博客
05-23 2296
如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
防止SQL注入的四种方案
dehuisun的专栏
09-05 8878
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
43. 注入篇——防注入的安全策略
Fly_鹏程万里
03-10 772
前言前面介绍的很多中注入的方法,那么很多人在想既然有这么多的注入方法,那么是不是整个系统内的网站就没有什么可以防范的方法了呢?当然不是,我们在本小节将会为大家介绍一些常见的防止注入的方法。想要更好的防止SQL注入攻击,就必须清楚一个概念:数据库只负责执行SQL语句,根据SQL语句来返回相关的数据。数据库并没有什么好的办法直接过滤SQL注入,哪怕是存储过程也不外。了解这一点之后,我们应该要明白要防...
关于防止sql注入问题
LYX_WIN
01-08 422
0. SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 注入攻击的总体思路 寻找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不通的服务器和数据库特点进行SQL注入攻击 1. SQL注入原理 以登录账号为,要求我们输入账号(userName)和密码(pass...
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7303
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
什么是SQL注入?如何防止SQL注入?
05-09
为了防止SQL注入,可以采取以下措施: 1. 使用参数化的SQL语句。这种方式可以在执行SQL语句时,将参数和SQL语句分开,从而避免了攻击者注入恶意代码的可能性。 2. 输入验证。在应用程序中对用户输入的数据进行验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值