关于防止SQL注入的问题

最新推荐文章于 2022-11-16 08:22:47 发布
最新推荐文章于 2022-11-16 08:22:47 发布
阅读量646 收藏
点赞数
分类专栏: JavaWeb 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhrxp/article/details/13509217
版权
为了避免出现这个漏洞,现在基本上的后台验证都不会使用这类方式,而是取得用户输入的账号和密码,在SQL中先将用户名与数据库中的记录做对比,若数据库中某条记录的用户名等于用户输入的用户名,则取出该条记录中的密码,然后再与用户输入的密码对比,正确就通过,不正确就返回。例如一下代码:
 
<%
pwd = request.form("pwd") 获取用户输入的密码,再把值赋给pwd
name = request.form("name") 获取用户输入的用户名再把值赋给name
都没有进行任何过滤
Set rs = Server.CreateObject("ADODB.Connection")
sql = "select * from Manage_User where UserName=" & name & "" 将用户名和密码放入查询语句中查询数据库,
Set rs = conn.Execute(sql) 执行SQL语句,执行后并得到rs对象结果,“真”或“假”
If Not rs.EOF = True Then 如果是真则执行以下代码
password=rs("password") 取得密码数据
if password=md5(pwd) then
Session("Name") = rs("UserName") 将UserName的属性赋给Name的Session自定义变量
Session("pwd") = rs("PassWord") 将PassWord的属性赋给pwd的Session自定义变量
Response.Redirect("Manage.asp")了 利用Response对象的Redirect方法重定向Manage.asp
else
response.write "密码错误!!!!"
end if
Else 否则执行以下代码
Response.Redirect "Loginsb.asp?msg=您输入了错误的帐号或口令,请再次输入!"
End If
%>
 
通过以上例子可知道,密码的验证不再是直接在SQL语句中做验证了,而是根据用户名,取出对应的密码,然后再与用户输入的做对比。这样一来就造成了我们不能使用or=or绕过了。有的朋友在这里可能有疑问了,若我们提交or=or那么SQL语句就变成:select * from Manage_User where UserName=or=or,这样一来得到的结果也应该是真啊,为什么就不能绕过呢?
 
其实就算SQL查询的地方得到的值是真,可别忘了后面还有密码的验证,若我们提交以上SQL,得到账号是真的,那么后面根据账号去数据库中取出来的密码与用户提交的密码是绝对通不过的。
hhrxp373317
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
mybaitis CDATA 防止字符被解析
Donald_Draper
08-17 121
在使用mybatis 时我们sql是写在xml 映射文件中,如果写的sql中有一些特殊的字符的话,在解析xml文件的时候会被转义,但我们不希望他被转义,所以我们要使用来解决。 是什么,这是XML语法。在CDATA内部的所有内容都会被解析器忽略。 如果文本包含了很多的"...
使用ibatis防止sql注入
刘飞
12-19 241
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 [code="SQL"] mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like...
03【MyBatis参数深入】
緑水長流*z
11-16 572
parameterType: 输入参数。对应方法的形参。resultType: 输出参数。表示方法的返回值类型。parameterType用于确定方法的形参,在mapper映射文件中,parameterType可写可不写;在传递单个参数时,mybatis不会做特殊处理,都可以取出参数值,接口: dao接口映射:传递的是基本数据类型和String时,里面的内容可以随便填写,取得都是形参中的值 测试: 3.1.2 传递多个参数时 1)MyBatis提供的方式 MyBaits在传递多个参数时会特殊处理,多个参数会
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6459
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQL注入以及防止SQL注入的方法
weixin_43206190的博客
02-27 4864
一、SQL注入简介 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 二、SQL注入攻击的思路 找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不同服务器和数据库的特点进行SQL注入攻击 三、SQL注入实例 一个要求输入用户名和密码的登陆界面 后台程序进行验证的SQL语句如下: select * from user_tab...
如何避免出现SQL注入漏洞
阿里云云栖号
09-09 2090
简介:本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 作者 | 阿里云安全团队 来源 | 阿里技术公众号 ‍‍‍‍‍‍‍‍ 一 前言 本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 二 SQL注入漏洞的原理、形成原因 SQL注入漏洞,根本上讲,是由于错把外部输.
为什么#{}可以有效的防止SQL注入
weixin_40939471的博客
07-29 7108
在数据库操作中都会有sql语句,而这个sql语句是String类型的,如果用+来拼接,表示的是直接操作这个String类型的字符串,这是改变了sql的具体内容了 如果用#{id},表示的是操作字改变里面字段的参数值。 用+拼接的:"select*fromuserwherecode="+code+"andpassword="+password; 那么c...
Java防止SQL注入
三千弱水的专栏
09-23 4079
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
MySQL如何防止SQL注入
热门推荐
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
详细解释之什么情况下用到CDATA和转义字符。
WZY_snail的博客
05-20 893
使用mybatis框架会在xml中写sql语句,如果sql中用到一些特殊字符的话(如直接使用:"<","&"...),XML 解析将会出现错误。 1、为什么会错误? 2、怎么避免直接使用特殊字符报错? 答1:之所以会报错是因为: XML 解析器通常情况下会解析XML文档中的所有文本。 当某个XML元素被解析的时候,XML标签之间的文本也会被解析: 例1:user.xml:...
sql注入产生的原因以及如何防止
living_ren的博客
03-03 1万+
1.sql注入产生的原因: 程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行; 2.防止过滤: 1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤; 2).在PHP配置文...
SQL注入攻击与防御
MzHeader的博客
03-03 2635
SQL注入攻击与防御 ​所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 1.1 分类: ​常见的SQL注入类型包括:数字型和字符型。也有人把类型分得更多、更细。但不管注入类型如何,攻击者的目的只有一点,那就是绕过程序限制,使用户输入的数据带入数据库执行,利用数据库的特殊性获取更多的信息或者更大的权限。 1.1.1 ...
java 防止sql注入
最新发布
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值