web安全开发 - 预编译防止sql注入

最新推荐文章于 2023-12-26 11:26:20 发布
最新推荐文章于 2023-12-26 11:26:20 发布
阅读量438 收藏 1
点赞数 1
分类专栏: 安全 文章标签: WEB安全开发 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidchang365/article/details/102698030
版权

SQL注入是常见的WEB攻击,百度百科上的解释是:

“所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。”

举个例子:

使用用户名和密码登陆网站时,用户名填入 123' or 1=1# ,密码也类似 123' or 1=1# 。这时,攻击者是猜测后台的sql命令可能是:

SELECT * FROM users WHERE username=### and password=###;

如果注入成功,SQL命令就变成了:

select * from users where username='123' or 1=1 #' and password='123' or 1=1 #'

这样,攻击者就可以成功登陆了。

 

防止SQL注入的方法,很重要的一条就是预编译。所谓预编译就是把sql命令和参数分开处理,这是根据SQL命令执行的逻辑来的。SQL语句的执行包含几个步骤,分析,编译,优化,执行等。如果SQL命令中的参数,如上例中的123' or 1=1# ,在编译阶段就包含在命令中了,那么就会被sql执行;否则,就只是作为一个参数去表匹配,不会被解释执行了。

在python中,预编译是通过把参数放在execute()函数的参数中来实现的。举例说明:

cur.execute('SELECT * FROM users WHERE username=%s and password=%s', args )

反面对比的是下面的语句,下面的语句中,参数在SQL语句编译之前已经是SQL语句中的一部分了,就会被SQL注入攻击:

sql = 'SELECT * FROM users WHERE username=%s and password=%s' %(user, pass)

cur.execute(sql)

 

 

davidchang365
关注
专栏目录
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1397
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 占位符并执行,在这个过程,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
《网络安全自学教程》- 预编译防止SQL注入的原理分析
最新发布
wangyuxiang946的博客
08-16 7823
SQL执行过程,预编译原理,预编译如何防止SQL注入预编译的局限性
预编译防止sql注入
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入式攻击?PreparedStatement与Statement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
防止sql注入方法之预编译
波波豆奶
06-08 1082
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
预编译sql处理(防止sql注入)
LFSenior
05-20 6641
1. 预编译sql处理(防止sql注入) -- 创建数据库 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i -- 创建表 USE jdbc_demo; CREATE TABLE admin(     id INT PRIMARY KEY AUTO_INCREMENT,     userName VARCHA
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4099
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5271
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
node-mysql防止SQL注入的方法总结
09-09
SQL注入是一种常见的网络安全威胁...总之,防止SQL注入是每个Web开发者必须重视的问题。通过正确使用`node-mysql`提供的工具,以及遵循良好的编程习惯,可以大大降低SQL注入的风险,保护你的应用程序和数据库免受攻击。
Java Web应用开发 34 课堂案例-使用预编译SQL语句.docx
07-13
在Java Web应用开发预编译SQL语句(PreparedStatement)是一种高效且安全的方式来执行数据库操作。本案例主要关注如何使用PreparedStatement来添加商品信息到数据库,这涉及到以下几个关键知识点: 1. **...
第40天:JAVA安全-JWT安全预编译CASE注入等1
08-03
在IT安全领域,尤其是Java应用的安全性,理解并掌握JSON Web Token(JWT)以及如何防止SQL注入至关重要。JWT是一种安全的身份验证机制,广泛应用于单点登录(SSO)和其他需要跨域验证用户身份的场景。 JWT由三部分...
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2918
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 1210
语法树的建立?模糊查询又如何实现预编译
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
使用PreperedStatement预编译对象防止sql注入简单代码
sillydog
12-22 2895
package com.fwd.login; import java.sql.Connection; import java.sql.PreparedStatement;//注意导包是sql下的包 import java.sql.ResultSet; import com.fwd.utils.MyJDBCUtils; public class Login { /** * @author
mysql预编译防止注入,关于使用预处理防止sql注入的问题。
weixin_29117805的博客
03-24 142
header("Content-type:text/html charset=utf8");$mysqli=new mysqli('localhost','root','***','test');if($mysqli->connect_errno){die("Connect Error:".$mysqli->connect_error);}$mysqli->set_charset...
使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击
HollowKnight的博客
04-19 1367
package com.usc.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; /* ...
浅析预编译防止SQL注入的原理
qq_44286009的博客
08-18 758
要理解防止SQL注入的原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密码进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
预编译防止sql注入的简单理解
weixin_45983964的博客
05-12 618
网上看了一下预编译为什么能够防止sql注入,大部分都是套话。在浏览的时候发现了一句话,让我醍醐灌顶。是这样说的,是把用户输入的值当做该字段的属性。可能是我说法的问题,但大概意思就是: 如果我们没有做预编译的话,那么用户输入的值就会和该sql语句一起编译执行,那么用户输入的sql注入的语句也会被当做正常的语句进行执行。 如果我们利用了预编译的话,用户输入的值就会变成我们需要填充的一个字段,比如用户和密码这里。如果我们使用预编译,不管用户输入的是什么?我们也只会把输入的当做字符串填充到用户字段和密码字段下进行查
SQL注入和Mybatis预编译防止SQL注入
双眸
12-31 1166
什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 实战举例 有个登陆框如下: 可以看到除了...
Web安全编程规范:防止SQL注入与XSS攻击
"SQL注入和XSS跨站攻击安全规范1" SQL注入和XSS跨站攻击是两种...遵循这些规范,可以显著提高Web应用的安全性,防止SQL注入和XSS攻击的发生。开发人员应当时刻牢记安全编码的重要性,以保护用户数据和系统的完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值