mysql 预防sql注入的方式

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量1.2k 收藏
点赞数
分类专栏: mysql 文章标签: mysql mysql优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czq159951/article/details/119889970
版权

正常SQL语句:

select * from users where name='zhangsan' and password=md5('12345678')

不正常执行的sql语句:
用户名:’ or 1 #

select * from users where name='' or 1 #' and password=md5('789789')

用户名:’ or 1 or ’

select * from users where name='' or 1 or '' and password=md5('789789')

SQL语句除了登录的地方其他使用到的sql语句都存在注入
例如 删除数据库的sql语句

select * from users where name=' or 1;drop database abcd;#' and password=md5('789789')

**

解决方式

**
1、 在业务逻辑上预防,比如要求用户名只能由特定的字符组成(比如数字字母下划线)(使用正则表达式)

2、 使用PHP函数addslashes(最常用)其中:strip_tags(trim($data)是防止JS注入的!!

	/**
     * 对用户的数据进行安全过滤
      */
     protected function escapeData($data) {
         return addslashes(strip_tags(trim($data)));
    }

3、 使用MySQL提供的数据转义函数:mysqli_real_escape_string($data, $link);不过有一个前提是必须连接上数据库之后才可以使用!

4、 使用预处理技术,因为预处理是强制将sql语句的结构和数据部分分开!

薄薄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在PHP中使用 mysqli 并防SQL注入
perthblank
01-28 1万+
自从 php5 推出 mysqli 后就开始不提倡使用 mysql_ 开头的接口了,现在使用 mysql_connet 通常调试的时候会报警告说这个不该用 mysqli 使用起来其实更简单 $url = "localhost"; $usr = "root"; $paw = "123"; $database = "mdb"; //$link = 0; $link = mysqli_co
mysql注入方法_防止SQL注入的六种方法
weixin_36428079的博客
02-02 5117
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
防止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4951
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
mysql如何防注入_如何防范sql注入
weixin_28949779的博客
01-19 1180
防范sql注入的方法:1、开启配置文件中的“magic_quotes_gpc”等设置;2、执行sql语句时使用addslashes进行sql语句转换;3、Sql语句书写尽量不要省略双引号和单引号;4、过滤掉sql语句中的一些关键词;5、提高数据库命名技巧等等。防止SQL注入方式有:执行sql语句时使用addslashes进行sql语句转换,过滤掉sql语句中的一些关键词,提高数据库表和字段的命名...
SQL注入攻击及防范措施
tt5464的博客
05-20 750
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入
mysql中防止sql注入
得粟
04-05 1769
实现sql注入常见类型: 利用逻辑运算符;利用mysql注释特性,mysql支持 /* 和 # 两种注释格式  %23=='#';(相当于程序后面的SQL语句给注释了) 防止sql注入的几种方法: 使用php处理过滤已知威胁使用接口时之允许已知用户请求使用PDO、mysqli等数据库抽象层
PHP+MysqlSQL注入源码 下载
01-01
这个"PHP+MysqlSQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入、PHP与MySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
使用预处理防止sql注入
cpy1356140308的博客
05-03 376
使用预处理语句(Prepared Statement)是一种有效的方法来防止SQL注入攻击。预处理语句将SQL查询或更新语句与参数分开处理,确保参数的值不会被解释为SQL代码的一部分。通过使用预处理语句,SQL查询或更新语句中的参数将被视为纯粹的数据值,而不会被解释为SQL代码的一部分。方法创建一个预处理语句。在创建预处理语句时,将SQL查询或更新语句作为参数传递给该方法。如果是更新语句,可以通过返回的受影响行数来判断操作是否成功。方法的参数类型取决于相应参数的数据类型。执行查询或更新:使用预处理语句的。
mysql.exe怎么全屏_mysql如何避免全屏扫描?
weixin_42474537的博客
01-12 199
MYSQL避免全表扫描的方法:1、where及order by涉及的列上建立索引;2、在where子句中避免对字段进行null值判断,避免使用“!=”或操作符,避免使用or来连接条件;3、慎用in和not in;4、避免在索引列上使用计算。MYSQL避免全表扫描1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引2.应尽量避免在 where 子...
PYTHON操作MYSQL时防止SQL注入
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL时防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHON和MYSQL,使用不了JAVA代码中提供的一
MySQL如何防止SQL注入
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
SQL语句 - 嵌套查询
ajwqb06628的专栏
06-03 2921
SQL语句 - 嵌套查询    嵌套查询的意思是,一个查询语句(select-from-where)查询语句块可以嵌套在另外一个查询块的where子句中,称为嵌套查询。其中外层查询也称为父查询,主查询。内层查询也称子查询,从查询。   嵌套查询的工作方式是:先处...
mysql配置执行日志及防止sql注入
m0_64288219的博客
07-11 565
1、错误日志 log_error (主要是记录启动、运行、停止mysql时出现的致命问题,系统级别的错误记录) 2、查询日志 log (主要记录数据库建立的客户端连接和执行的语句) 3、二进制日志 log_bin (主要是记录所有的更改数据的语句,可使用mysqlbinlog命令恢复数据) 4、慢日志 log_slow_queries (主要是记录所有执行时间超过long_query_time的查询或没有使用索引的查询) 5、更新日志 log_update(官方建议不开启,在此忽略) 在安装mysql的文件
nodejs中查询mysql防止SQL注入
cowcomic的专栏
08-03 6334
Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace instance). The simplest form of .query() is .query(sql...
mysql 预处理 sql注入_SQL注入攻击(2)--Mysql预处理之面向过程
weixin_42386819的博客
01-21 262
$q="insert into usermessage(name,password)values(\"$username\",\"$password\")";$r=mysqli_query($dbc,$q);像这种查询语句,整个查询(包括sql语法和具体的值)都会作为一个长字符串发送到mysql,然后mysql分析并且执行它。若使用预处理语句,sql语法首先被发送到mysql解析,确保他在语法上是...
MySQL之使用预处理对象PreparedStatement防止注入攻击
绣花针
06-17 686
通过预处理对象PreparedStatement,对SQL语句中参数列表进行指定传参,防止用户在SQL语句结尾上添加额外的SQL语句
SQL注入漏洞全接触.ppt
11-15
在这种情况下,SQL注入漏洞的风险也会受到影响,所以对于程序员来说,加强对SQL注入漏洞的了解和预防也是非常重要的。 本文介绍了SQL注入漏洞的危害、检测方法、攻击手法、防范措施等内容,旨在帮助读者加深对SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值