Sql Server存储过程防注入攻击

最新推荐文章于 2023-04-26 08:48:07 发布
最新推荐文章于 2023-04-26 08:48:07 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: Sql Server Windows 游戏开发 文章标签: sql server 存储 sql 数据库 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heartrude/article/details/7420977
版权
游戏开发 同时被 3 个专栏收录
64 篇文章 0 订阅
订阅专栏
Windows
44 篇文章 1 订阅
订阅专栏
Sql Server
2 篇文章 0 订阅
订阅专栏
所谓Sql注入,就是利用动态构建Sql语句的操作,在输入参中增加额外sql信息从而在执行该操作时顺带进行


额外的地数据库操作的攻击方式。


使用存储过程可以很大程度上避免Sql注入攻击,但是并不能避免Sql注入功能。只要存在Sql语句动态生成,


而传入参包括字符串,就可以产生Sql注入。


目前在存储过程中需要进行Sql语句动态生成的基本是因为条件语句的动态形成,比如组合查询,条件更新,


条件删除。因为这类语句如果进行完全罗列将会是xx性的工作量。


目前比较完整的防御措施如下:
1.对于存在动态生成语句的存储过程的调用,对于传入字符串参数进行特殊字符替换:%='",:

2.使用sp_executesql格式化语句执行来执行动态语句


例子:

根据角色ID或者角色名进行组合条件查询一个角色信息。

存储过程如下:

Alter PROCEDURE [dbo].[SP_TestSqlInject]

(

@iCharId bigint,

@strName nvarchar(32)

)

AS

BEGIN

SET NOCOUNT ON;

declare @sqlStr nvarchar(2048);

declare @paramDefine nvarchar(2048);

set @sqlStr = 'select * from TableChar where ';

if @iCharId != 0

set @sqlStr = @sqlStr + 'iCharId = @pICharId and ';

if @strName != NULL

set @sqlStr = @sqlStr + 'strName = @pStrName and '

set @sqlStr = @sqlStr + ' 1 = 1'


set @paramDefine = '@pICharId bigint, @pStrName nvarchar(32)';

exec sp_executesql @sqlStr, @paramDefine, @iCharId, @strName;

End

go

SuperKuku
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
整站防止SQL注入式入侵 -
03-14
整站防止SQL注入式入侵 - 整站防止SQL注入式入侵 -
SqlServer存储过程实现及拼接sql的注意点
12-15
1. **安全考虑**:使用动态SQL时要警惕SQL注入攻击。始终确保输入已验证并使用参数化查询,以降低风险。 2. **性能优化**:存储过程可以提高性能,因为它们被预编译,但过度使用或设计不当的存储过程可能导致缓存...
注入以及sql注入
最新发布
weixin_68408599的博客
04-26 524
但是我们输入x后由于x被截断,x也就不会显示在数据库里(我曾经想过如果不截断会不会造成缓冲区溢出的原理,但是想想数据库严格限制了输入的内容,栈溢出也就不存在,应该是这样的吧)。BENCHMARK(1,ENCODE('1','2')),这个语句是将BENCHMARK(1,ENCODE('1','2'))执行一次,可能一瞬间就完成了,姑且算它0.000001秒就完成了吧,但是大家有没有想过,如果我将这个函数。因此综上所述,当我们遇到反斜杠转义时,就可以在前面输入bf,就可以使其混乱,从而绕过它的转义字符。
SQL Server应用程序中的高级SQL注入
weixin_34360651的博客
07-21 163
 创建时间:2004-06-10文章属性:翻译文章提交:panderlang (pander_lang_at_hotmail.com)SQL Server应用程序中的高级SQL注入作者:Chris Anley[chris@ngssoftware.com]An NGSSoftware Insight Security Research(NISR) Publication翻译:青野志狼(panderl...
mysql 存储过程 sql注入_存储过程是否可以防止SQL注入
weixin_34198817的博客
02-27 2870
存储过程并不能神奇地阻止SQL注入,但是它们确实使防止注入变得容易得多。您所要做的只是类似以下内容(Postgres示例):CREATEORREPLACEFUNCTIONmy_func(INin_user_id INT)[snip]SELECTuser_id,name,addressFROMmy_tableWHEREuser_id=in_user_id;--BAM! SQL INJECTION I...
SqlServer_Sql防止注入
weixin_30734435的博客
07-27 499
注入攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入攻击,与及他的范措施。对于一个简单的用户登陆可能的代码如下:try{ string strUserName = this.txtUserName.Text; string strPwd = this.txtPwd.Text; string strSql = "select * from...
mysql 存储过程 sql注入_postgresql存储过程是否阻止SQL注入
weixin_35459464的博客
01-27 355
不,存储过程不会阻止sql注入.这是一个不幸允许sql注入存储过程的实际示例(来自我工作的内部应用程序).这个sql服务器代码:CREATE PROCEDURE [dbo].[sp_colunmName2]@columnName as nvarchar(30),@type as nvarchar(30),@searchText as nvarchar(30)ASBEGINDECLARE @sql...
SQL注入御方法-程序员篇
蓝法典的专栏
04-09 1730
作者:NB联盟-小竹 ps:老东西了,没别的意思。对曾经促进过网络安全事业的54nb的一点怀念吧!  SQL注入越来越多的被利用来入侵网站,部分WEB程序员也开始关注这方面的知识,但由于对入侵的方法一知半解,导致在过滤的时候漏掉某些字符,造成安全漏洞;或者是草木皆兵,把一些合法的用户请求都拒之门外,试想一下,当用户想输入个Im a boy的时候,却给你臭骂一顿,他还会愿意再上你的网站吗? 下面,
SQL Server中视图,存储过程注入
12-14
SQL Server中,视图、存储过程SQL注入数据库管理中的重要概念,它们各自扮演着不同的角色,有助于提升数据库的安全性和效率。 一、视图 1. 视图的概念: 视图是从一个或多个表中导出的虚拟表,它不存储实际...
SQL Server存储过程入门学习
01-19
SQL Server 的系列版本中,存储过程分为两类:系统提供的存储过程和用户自定义存储过程。系统SP,主要存储master 数据库中,并以sp_为前缀并且系统存储过程主要是从系统表中获取信息,从而为系统管理员管理SQL ...
SQL Server下几个危险的扩展存储过程
09-14
然而,这也带来了安全隐患,特别是那些具有较高权限的扩展存储过程,如在描述中提到的,可能会被恶意用户利用进行SQL注入攻击SQL注入是一种常见的安全漏洞,攻击者通过输入恶意SQL代码来获取未经授权的数据访问...
存储过程之外:SQL注入深入
那一抹、璀璨
12-18 1406
几年以前,对开发者提及”SQL注入”或者要求采取一个”深入御”的措施,你大概会遭白眼。如今,越来越多的人听过”SQL注入攻击而且开始关注这些攻击出现带来的潜在危险,但是大多数开发者仍然欠缺如何防止SQL注入攻击的知识,而当问及他们的应用软件如何SQL注入时,他们通常回答:“很简单,只要使用存储过程”。我们可以预见的是,使用存储过程对于你的御策略来说是非常好的开端,但是仅此一步却不够。你需
ADO.NET学习之防止SQL注入,存储过程,SqlDataReader
了凡
06-09 2033
ADO.NET学习之防止SQL注入防止SQL注入使用参数化查询来防止SQL注入 // Parameterized query. @ProductName is the parameter string Command = "Select * from tblProductInventory where ProductName like @ProductName";
SQL Server中未公布的扩展存储过程注入
weixin_34301132的博客
11-14 77
SQL Server中未公布的扩展存储过程注入 很多人也许并不了解,在SQL Server中包含了几个可以访问系统注册表的扩展存储过程。但实际上这几个扩展存储过程都是未公开的,从SQL Server 7.0就有了,在SQL server 2000中仍然保留,他们以后可能会删除.但是这几个存储过程却提供了在当前的SQL Server版本中访问系统注册表的...
sqlserver注入方式与安全护的学习
weixin_33890526的博客
12-10 131
    自己的开发机经历了两次的中毒现像.每次中毒的现像,都是sqlserver.exe进程去执行cmd.com进程,然后生成*.sys与*.bat两个文件,然后去使用ftp.exe去下载木马下载器,然后杀毒软件开始报警了.     下面是cmd.com执行指令内容     "C:"WINDOWS"system32"cmd.com" /c net1 stop sharedaccess&am...
防止SQL注入
陌上风存的博客
11-11 429
SQL注入的原理:1、SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。2、具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL注入的总体思路:
SQL Server】--SQL注入
慢慢的长大
01-31 1258
Sql Inject概念:   百度解释:通过SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器质性恶意的SQL命令。   SQL注入攻击指的是通过构件特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
存储过程的优缺点
Lele的专栏
12-09 744
存储过程(Stored Procedure) 存储过程是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,经编译后存储数据库中,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。 这是百度百科中解释的存储过程的基本定义。 具体语法使用略, 开发过程中使用存储过程,要根据具体业务情况而定, 不是每条sql都需要使用存储过程,也不是使用存储过程
SQLSERVER存储过程详解与示例
"这篇文档是关于SQLSERVER存储过程的全面总结,主要涵盖了存储过程的定义、创建方法、参数介绍以及示例。存储过程是预先编写的SQL语句集合,存储数据库中,允许根据条件执行不同的操作,简化数据库操作。通过调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值