也谈 SQL Injection 解决方案

最新推荐文章于 2024-07-13 19:43:54 发布
最新推荐文章于 2024-07-13 19:43:54 发布
阅读量168 收藏
点赞数
分类专栏: SQL Issue Resolution 文章标签: sql login sql server table list 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/envykok/article/details/5742430
版权

SQL Injection (注入)

 

虽然学数据库时间不长,但我也来谈谈SQL Injection解决方案.

 

方案1:参数化SQL 语句

 

方案2:存储过程

 

方案3:给与可能的最低权限 给用户( 例如:如果只需要'SELECT'则只给与'SELECT'权限)

note: 即使只给与select权限,用户依然可以对临时表进行CRUD.

create table #AAA
(
  id int
);

go

insert into #AAA values (1)

SELECT * FROM #AAA

truncate table #AAA
SELECT * FROM #AAA

drop table #AAA

每个人都关心数据安全。如果不关心的话,可能没有意识到访问服务器中的敏感数据是非常容易的。因为SQL   SERVER在这方面已经替我们考虑过了,所以在我们开发应用程序就可以直接使用SQL   SERVER的安全策略。  

        在SQL   SERVER中,我们可以在ENTERPRISE   MANAGER中创建一个登录帐号,并且赋予一定的权限,如果要做到我们的应用程序中呢?  

        SQL   SERVER提供了如下系统过程  

        一、SP_ADDLOGIN         添加登录帐号  

                SP_ADDLOGIN   login_id[,password[,defaultdb[,defaultlanguage>  

                login_id                     帐号名  
                password                     口令  
                defaultdb                   缺省数据库,默认为MASTER数据库。  
                defaultlanguage       缺省语言 

        二、SP_ADDUSER         添加用户  

                SP_ADDUSER   login_id[,username[,rolename}  

                username                     登录数据库的别名  
                rolename                     用户隶属的组名  

        三、SP_DROPLOGIN     删除帐号  

                SP_DROPLOGIN   login_id  

        四、SP_DROPUSER       删除用户  

                SP_DROPUSER   username  

        五、GRANT                   授予用户或组许可权限  

                GRANT   permission_list   ON   object_name   TO   name_list  

                permission_list         授予的权限的清单  
                object_name                 被授予权限的表、视图或存储过程  
                name_list                     被授予权限的用户或组的清单  

        六、REVOKE                 收回用户或组许可权限  

                REVOKE   permission_list   ON   object_name   FROM   name_list  

        七、SP_PASSWORD       修改口令  

                SP_PASSWORD   [old_password,]new_password[,login_id]  

        前六个过程只能SA或被SA授予Security   Administrators权限的人才可使用,第七个过程普通用户可能使用,但不能使用login_id项,只有上述权限的人才可使用此项  

   
应用实例:  

        添加  

                declare   @login   varchar(6),@pass   varchar(11)  

                exec   sp_addlogin   @login,@pass,databasename  
                exec   sp_adduser   @login,@login,public  

                grant   insert,select,update,delete   on   table1   to   public  

        删除                  

                revoke   insert,delete   on   table1   from   public  

                exec   sp_dropuser   @login  
                exec   sp_droplogin   @login  

envykok
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1338
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
sql injection SQL注入解析 和解决方案
02-05
SQL注入解析 解决方案 sql injection php+mysqlsql注入。做个好的程序员。写出健壮的程序。可靠的程序。
用PHP函数解决SQL injection 作者:lm92 来源:CSDN
panex的专栏
06-23 782
SQL injection问题在ASP上可是闹得沸沸扬扬当然还有不少国内外著名的PHP程序“遇难”。至于SQL injection的详情,网上的文章太多了,在此就不作介绍。如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off,那么PHP就不会在敏感字符前加上反斜杠(/),由于表单提交的内容可能含有敏感字符,如单引号(),就导致了SQL injection的漏洞。在
SQL Injection
muhuozhuyun的博客
12-06 350
一、SQL Injection方式: 1.恒真表达式查询到超出用户权限的信息; 2.“;”分号会结束之前的sql语句,在“;”继续写sql,直接进行数据库操作; 3.“‘”,“--” 4.获取到数据库表名,直接对表进行“drop,delete,insert,selecte”等操作。 二、基本原则: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单
sql注入攻击(三)sql注入解决办法
cuiyaoqiang的博客
06-11 3381
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。  如果一个普通用户在使用查询语句中嵌入另一个Dr
SQL注入问题解决
zh_tnis的博客
08-24 407
1.什么是SQL注入? 通过SQL语句代码的漏洞,进而攻击系统,从而引起数据泄露。 例如:我的数据库表中的字段记录是 当我Java与数据库进行连接后使用姓名查询,输入'or 1 or'。这个姓名很明显是不存在的,但是查询出来的结果是 可以看到,使用'or 1 or'查询出来的结果是我之前进行查询过的结果,这就是SQL注入。 2.解决SQL注入。 2.1可以对Java语言中传递的字符进行预处理,但是量大,实施时间过长,难以实现。 2.2使用PerpredStatement与数据库连接,获
SQL Injection和CSS Hole入侵解决方案研究.pdf
09-19
SQL Injection和CSS Hole入侵解决方案研究.pdf
fangsqlzhuru.rar_sql injection_sql注入_万能
09-22
由于SQL注入对基于ASP的应用程序构成了重大风险,因此这类万能代码通常会提供一种通用的解决方案,帮助开发者避免常见的注入漏洞。 标签“sql_injection”和“sql注入”进一步强调了这个主题的核心,即防止SQL注入...
php SQL Injection with MySQL
12-17
6. 开启`magic_quotes_gpc`并不是长期解决方案,因为它会引入其他问题,并不能完全阻止SQL注入。 总之,SQL注入是Web开发中必须重视的安全问题,开发者应当始终对用户输入保持警惕,采取适当的防护措施,以确保应用...
SQL Injection Attacks and Defense, 2nd Ed
03-21
- **总结与快速解决方案**:强调代码审计的重要性,并给出预防SQL注入的实用建议。 ### 第四章:利用SQL注入 - **常见攻击技巧**:列举并解释各种常见的SQL注入攻击手法,如通过UNION语句提取数据。 - **数据库...
SQL Injection 分析与防范
小疯子
09-06 211
【摘要】 SQL Injection 是当前网站安全的主要问题之一。首先阐述了 SQL Injection 网络攻击的基本原理,然后对黑客利用  SQL Injection 技术攻击的一般过程进行了分析。在此基础上针对 SQL Injection 攻击的具体预防措施进行了详细的分析和研究,并且提出了现有防范技术所存在的一些问题及其解决方法。碧森尤信  1 引 言   SQL Injection攻...
SQL InjectionSQL注入)+SQLMAP
最新发布
qq_59706867的博客
07-13 695
SQL注入)SQL注入),是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被脱裤,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。SQL注入流程拿到一个查询条件的web网页,就需要对输入框做以下的事情1.判断是否存在注入,注入是字符型还是数字型这里给大家说一个骚操作,可以直接判断出是字符型还是数字型注入。
DVWA-----SQL Injection(SQL手工注入)
m0_65712192的博客
11-21 6075
DVWA-----SQL Injection(SQL手工注入)
如何解决SQL注入问题
Aixiaohuangren的博客
07-16 2682
一.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。 二.SQL注入实例 例如我后台的sql语句为 select * from s_st
一个asp函数,解决SQLInjection漏洞
10-24 649
函数很简单, 主要是针对字符串和数字两种类型的传入数据分别进行了处理,具体用法:字符类型的strUsername = CheckInput(Request(“username“),“s“)数字类型的ID = CheckInput(Request(“id“),“i“)下面是函数Function CheckInput(str,strType)   函数功能:过滤字符参数中的单引号,对于数
sql 整改措施 注入_SQL注入(SQL Injection)案例和防御方案
weixin_39852647的博客
12-20 625
sql注入(SQL Injection):就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入攻击的主要危害包括:非法读取、篡改、添加、删除数据库中的数据;数据库信息泄漏:数据库中存放的用户的隐私信息的泄露,攻击者盗取用户的各类敏感信息,获取利益。网页篡改:通过修改数据库来修改网页上的内容。数据库被恶意操作:数据库服务器被攻击...
【安全】SQL注入和解决方法
热门推荐
Roda的博客
01-03 2万+
目录 SQL注入 1、SQL注入说明 2、SQL注入影响 3、SQL注入示例 4、SQL注入解决方法 SQL注入 1、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,...
解决sql注入问题
LCHUIHUI的博客
05-21 1129
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using MySql.Data.MySqlClient; namespace MySQL数据库操作 { class Program { ...
sql注入解决
hexiaoniao的博客
07-09 1856
sql注入解决
深度解析:漏洞挖掘类型与SQL Injection安全分析
"这篇文档是关于漏洞挖掘的类型与分析方法的解决方案,主要涉及网络安全,特别是Web安全领域的关键问题。作者通过多个章节介绍了常见的安全漏洞类型,并提供了相应的防范措施。" 正文: 首先,文档强调了Web安全在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值