注入篇——防注入的安全策略

最新推荐文章于 2024-05-17 01:48:00 发布
最新推荐文章于 2024-05-17 01:48:00 发布
阅读量697 收藏
点赞数
原文链接:https://blog.csdn.net/Fly_hps/article/details/79509564
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.csdn.net/Fly_hps/article/details/79509564

前言

前面介绍的很多中注入的方法,那么很多人在想既然有这么多的注入方法,那么是不是整个系统内的网站就没有什么可以防范的方法了呢?当然不是,我们在本小节将会为大家介绍一些常见的防止注入的方法。

想要更好的防止SQL注入攻击,就必须清楚一个概念:数据库只负责执行SQL语句,根据SQL语句来返回相关的数据。数据库并没有什么好的办法直接过滤SQL注入,哪怕是存储过程也不例外。了解这一点之后,我们应该要明白要防止SQL注入其实还得存代码入手。

严格的数据类型

Java 、C++等强类型语言几乎可以完全忽略数字型注入,而对于PHP等弱类型语言来说存在数字型注入的可能性就非常大了,但是我们还是可以通过严格的判断数据类型来进行防范。

特殊字符转义

攻击者在利用SQL注入时往往会尝试构造SQL注入语句,我们可以通过过滤常用的SQL语句中的一些关键词、关键符号等来防止这类注入的利用。

使用预编译语句

像JAVA、C#这些语言都提供了预编译语句,例如Statement、PreparedStatement这些语句都可以进行预编译处理

使用框架

对于JSP、PHP等我们可以是哟相关的技术类框架来提高安全性,但是也不能全部依靠框架,自己在编码的过程中也要注意diam的安全性。

输入验证

凡是存在输入的地方皆可能存在风险,所以每当我们面对用户的输入操作是我们需要进行严格的过滤措施。

面对用户的输入我们有两种不同类型的验证输入方法:白名单和黑名单!

白名单:只允许在该名单内的用户(或者其他凭据信息)通过验证进行登录或者操作。

黑名单:对该名单内的用户名或者IP地址进行封杀,不允许其进行任何操作。

输出编码

我们除了要验证应用程序收到的输入以外,还要对数据进行编码,这样不仅可以防御SQL注入攻击,还能防止出现其他问题,比如XSS。

使用安全函数

为了提高安全性不少的编程语言都有相应的安全函数,我们可以通过使用这些安全函数来提高系统的安全性!

总之,没有绝对的安全,安全是相对的!



bylfsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞挖掘】——28、XSS Cheat-sheet
Fly_鹏程万里
03-10 797
XSS(跨站脚本攻击)是一种常见的网络安全威胁,攻击者借助漏洞将恶意脚本注入到网页中以在用户浏览器上执行恶意操作,本文将对我们一些常用的XSS有效载荷进行介绍。
六个建议止SQL注入式攻击
cuanji3287的博客
04-20 1685
  一、 SQL注入攻击的简单示例。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6481
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
android app代码审计,常规漏洞/缺陷整理(持续更新)
qq_29194615的博客
04-21 4623
android app代码审计,常规漏洞/缺陷整理(持续更新)
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
最新发布
2401_84969054的博客
05-17 441
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
四种止SQL注入的解决方案
weixin_43702295的博客
01-11 4261
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement止SQL注入mybatis中#{}止SQL注入对请求参数的敏感词汇进行过滤。
安全技术经典译丛》SQL注入攻击与御.pdf
03-10
安全技术经典译丛》中的《SQL注入攻击与御》一书,是针对网络安全领域中的一个重要议题——SQL注入,进行深入探讨的专业著作。该书由清华大学出版社出版,旨在帮助读者理解这种常见且危害极大的网络攻击手段,...
XSS攻击和SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
SQL注入简单总结——过滤逗号注入.pdf
04-08
"SQL注入简单总结——过滤逗号注入"的主题主要探讨了如何处理那些针对逗号(`,`)进行过滤的SQL注入情况。在SQL语句中,逗号常用于分隔不同的元素,例如在`UNION`、`LIMIT`等子句中。 1. **过滤逗号的绕过方法**: ...
SQL注入——网络安全问题不容忽视!(五)
04-05
本文将深入探讨SQL注入的原理、危害、检测方法以及策略,以提高我们对网络安全的认识。 首先,我们需要理解SQL注入的工作机制。当用户在网页表单中输入数据,如登录用户名和密码,这些数据会被直接拼接到SQL...
常见漏洞揭秘:保护您的网络安全
Sgirll的博客
08-11 269
服务器所在的内网,本地进行端口扫描,攻击内网,本地的应用,读取本地文件, 如何实现:对外网,服务器所在内网进行端口扫描,获取一些服务的信息;向内部主机的任何端口发送构造的payload。在动态文件读取的地方,可以尝试修改文件路径的参数,尝试读取其他文件 攻击者可以利用任意文件读取漏洞,读取敏感文件,包括:日志文件,配置文件,网站源代码文件,系统文件等。XML外部实体注入漏洞,发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以加载恶意的外部文件,造成文件读取,命令执行,内网端口扫描等危害。
常见Web安全问题及策略,前端开发技巧
2401_84092694的博客
04-06 374
分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载讲解视频,并且会持续更新!**如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载。
漏洞扫描解决方案汇总
liudachu的博客
03-06 5171
【代码】漏洞扫描解决方案汇总。
止SQL注入的四种方案
dehuisun的专栏
09-05 9577
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
360奇安信和SonarQube漏洞及bug修改
qq_60547244的博客
07-12 7129
360奇安信和SonarQube漏洞及bug修改
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6336
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
如何绝对注入
m0_50453514的博客
04-15 3732
前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百注入呢,也许从这个角度学习会让我进步更快。
网站安全护:SQL注入与HTTPS策略
"这篇文档主要讨论了网站攻击与护技术,包括代码级的护措施以及针对SQL注入等常见攻击手段的策略。" 网站护技术是保护在线服务免受恶意攻击的关键环节。在代码级,有多种方法可以增强网站的安全性: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值