SQL注入

最新推荐文章于 2024-05-02 13:15:52 发布
最新推荐文章于 2024-05-02 13:15:52 发布
阅读量986 收藏 2
点赞数 1
文章标签: 数据库 database sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a56546/article/details/121206619
版权

0、什么是SQL注入

SQL注入发生在应用程序与数据库进行交互的时候的安全漏洞。就是在输入字符串的时候注入SQL指令,在编程时不注意忽略了字符检查,俺么这些注入进去的恶意指令会被数据库服务器误认为正常的SQL指令运行,因此遭受破坏或者入侵。

举个例子

# 正常的sql语句
select * from table_name where user_name = "arvin";
​
# 如果上述的输入框输入没有拦截,语句就变成了如下形式,多了额外的"or 1=1" 到查询的语句中就是sql注入了。由于1=1永远都是成立的,即where字句总是为真。
select * from table_name where name="arvin" or 1=1;
# 实际执行效果
select * from table_name

 

1、可能出现的数据库

SQL注入可能出现在大部分数据库中,主要支持处理SQL指令的数据库服务器,都有可能受到其手段的攻击。

2、如何防止SQL注入

1、在前端表单进行参数格式控制

2、后台进行参数格式化,过滤是由涉及sql的非法字符

//参考:https://freeman983.iteye.com/blog/1153989
//过滤 '
//ORACLE 注解 --  /**/
//关键字过滤 update,delete
 
static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
            + "(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
 
static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);//表示忽略大小写
 
/***************************************************************************
 * 参数校验
 * 
 * @param str ep: "or 1=1"
 */
public static boolean isSqlValid(String str) {
    Matcher matcher = sqlPattern.matcher(str);
    if (matcher.find()) {
        System.out.println("参数存在非法字符,请确认:"+matcher.group());//获取非法字符:or
        return false;
    }
    return true;
}

 

3、持久层使用参数化的持久层

String sql= "select * from user where name=?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, name);
ResultSet rs = ps.executeQuery();

3、框架中防止SQL注入

1、spring中的jdbcTemplate防止SQL注入

1、使用参数化SQL代替字符串拼接(少参)

  字符串拼接(不安全): jdbcTemplate.update("update user set age = "+age+" where uuid = "+uuid);
  
  参数化sql(安全):   jdbcTemplate.update("update user set age = ? where uuid = ?",new Object[]{age,uuid});

2、参数化,将参数进行数组打包注入(多参)

  List<Object> obj = new ArrayList<Object>();
  obj.add(name);
  obj.add(age);
  String sql = "update user set name=?,age = ? where uuid = 4";
  jdbcTemplate.update(sql,obj.toArray());

3、参数化,将参数进行map集合打包,指定参数注入(多参)

  Map<String,Object> map = new HashMap<String,Object>();
  String sql = "update user set name=:name,age =:age where uuid = 4";
  map.put("name",name);
  map.put("age",age);
  jdbcTemplate.update(sql,map);

4、参数化,使用编译语句(少参,参数为单体对象)

   String sql = "insert into user(name,age) values (?,?)";  
   jdbcTemplate.update(sql, new PreparedStatementSetter() {
      @Override
      public void setValues(PreparedStatement ps) throws SQLException {  
          ps.setString(1, "sixmonth");  
          ps.setInt(2, 18);  
   }});

5、参数化,使用预编译语句,进行批处理更新(多参,参数为对象集合)

   String sql = "insert into user(name,age) values (?,?)";  
   List<User> userList = new ArrayList<User>();//此处为测试,使用空集合
   jdbcTemplate.batchUpdate(sql, new BatchPreparedStatementSetter() {
        public void setValues(PreparedStatement ps, int i) throws SQLException {
            ps.setString(1, userList.get(i).getName());
            ps.setInt(2, userList.get(i).getAge());
        }
        @Override
        public int getBatchSize() {
            return userList.size();
        }
    });

2、mybatis防止SQL注入

mybatis是一款优秀的持久层框架,在防止sql注入方面,mybatis启用了预编译功能,在所有的SQL执行前, 都会先将SQL发送给数据库进行编译,执行时,直接替换占位符"?"即可;

mybatis在处理传参的时候,有两种处理方式,一种是#,另一种是$;

1、#{XXX},将传入参数都当成一个字符串,会自动加双引号,已经经过预编译,安全性高,能很大程度上防止sql注入; 2、${XXX},该方式则会直接将参数嵌入sql语句,未经过预编译,安全性低,无法防止sql注入;一般用于传入数据库对象,例如传入表名。

结论:在编写MyBatis的映射语句时尽量采用#{xxx}这样的格式。若不得不使用${xxx}这样的参数,要手动做好过滤工作,来防止SQL注入。

MyBatis3.0中使用link进行模糊查询,防止sql注入攻击。正确写法如下:

Mysql: select * from t_user where name like concat('%', #{name}, '%')

 

曼走丶999
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
安全测试-sql注入搜索框
weixin_43793563的博客
07-29 4292
一、搜索型注入简介与原理1)简介 一些网站为了方便用户查找网站的资源,都对用户提供了搜索的功能,因为是搜索功能,往往是程序员在编写代码时都忽略了对其变量(参数)的过滤,而且这样的漏洞在国内的系统中普遍的存在: 其中又分为POST/GET,GET型的一般是用在网站上的搜索,而POST则用在用户名的登录,...
SQL 注入教程:通过示例学习
allway2的博客
07-18 1005
SQL注入是一种攻击动态SQL语句以注释掉语句的某些部分或附加始终为真的条件的攻击。它利用设计不佳的Web应用程序中的设计缺陷来利用SQL语句来执行恶意SQL代码。在上面的示例中,我们使用了基于我们丰富的SQL知识的手动攻击技术。通常,成功的SQL注入攻击会尝试使用多种不同的技术(例如上面演示的技术)来执行成功的攻击。动态语句是在运行时使用来自Web表单或URI查询字符串的参数密码生成的语句。可以使用SQL注入执行的攻击类型取决于数据库引擎的类型。上面的列表并不详尽;...
最新SQL注入——红蓝攻防学习
最新发布
2401_84297618的博客
05-02 734
在输入框输入并提交,回显正常,输入值被传递给参数“id”;url头中为“id=1&Submit=Submit#”查看源码(前两种方法均无法查看php代码);1)按F122)Ctrl+U查看网页源代码3)访问查看php源代码;可以看到参数“id”没有过滤,且参数值直接拼接给SQL语句,说明可能有SQL注入;验证前面的判断,用单引号“ ’ ”判断是否存在注入,注意:要使用英文标点单引号;中文单引号回显正常输入**1’**并提交,英文单引号回显不同,有SQL语法报错,则有注入;
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 5123
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
SQL注入实验
2301_76346422的博客
04-17 1159
所谓sql注入,就是通过把sql命令插入到web表单提交或输出域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令,从而进一步得到相应的数据信息通过构造一条精巧的雨具,来查询到想要得到的信息。
JDBC-防止SQL注入
m0_63144452的博客
10-25 957
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
js脚本注入和sql注入
你好_晴天
02-14 1971
注入攻击
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
sql注入常用的解决方法
06-17
sql注入常用的解决方案 集中了常用的集中注入及解决注入的方案 对于sql注入防范于解决
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2218
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
sql注入详解
weixin_56714714的博客
07-25 1104
首先什么是SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入有什么危害? 危害:数据泄露、脱库、篡改网站、破坏数据库、植入后门、getshell(获取网站权限) 为什么会有SQL注入漏洞? 后端代码在执行的过程将用户输入的数据也当做代码来执行,违背一个原则:代码和数据相分离(本质问题) 前段传递的数据可以随意控制,参数可控;后端对前段传递过来的数据没有过滤或者过滤不严谨,最终导致SQL注入(注入的原因)
Java 如何防止sql注入
开发猫
10-20 9327
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法。 java 方法/步骤 1 java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 9125
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
注入漏洞一把嗦(原理+步骤+防御)
Y22Lee的博客
03-21 1269
以csdn为例,除去请求头信息,剩下的都是Head信息,其中U-A是用户的基本信息,Referer是用户的请求来源。没有回显的注入,SQL注入中最繁琐;因为没有明确的回显,所以不能直观的得到数据。只能尝试测出数据。一般盲注分为布尔盲注和时间盲注。宽字节是指占俩个以上字节的字符,而一般的字符只占一个字节,被称作单字节(窄字节)。ASCII:单字节编码GBK,UTF-8:单字节/双字节编码(区别根据范围划分,范围与ASCII保持一致)英文通常是默认占用一个字节,而汉字占用俩个字节!
sql注入
Leloz的博客
07-15 400
sql注入
sql注入sql注入
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了防止SQL注入攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这样可以将用户输入的数据作为参数传递给SQL查询,而不是将其直接拼接到查询语句中。这样可以防止恶意代码的注入。 2. 输入验证和过滤:对用户输入进行验证和过滤,确保只接受符合预期格式的数据。例如,可以使用正则表达式验证输入是否符合特定的模式。 3. 最小权限原则:确保数据库用户只具有执行必要操作的最低权限。这样即使发生SQL注入攻击,攻击者也无法执行敏感操作。 4. 错误处理:不要向用户显示详细的错误信息,以防止攻击者获取有关数据库结构和配置的敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼走丶999

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值