防止通过ORDER BY 进行SQL语句注入

最新推荐文章于 2024-05-13 03:42:40 发布
最新推荐文章于 2024-05-13 03:42:40 发布
阅读量4.5k 收藏 1
点赞数
分类专栏: 安全 数据库 文章标签: sql 脚本 java 注入 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_6026/article/details/82641271
版权
[size=large][b]背景:[/b][/size]一般MIS系统的开发中,都会给表格设计一个题头进行排序的功能。具体的实现是将SQL语句中的ORDER BY 字句的两个参数:排序字段、排序方式作为对象的属性,由前台提交到后台。


[size=large][b]问题:[/b][/size]如果对这两个参数(我暂且称为sortName,sortType)没有进行有效的控制,就可能导致脚本注入。泄漏数据库的信息。例如: 
 sortName="xxxName";

 sortType="ASC ,if(116<115),1,(select 1 from information_schema.tables))";


[size=large][b]解决方案:[/b][/size]我们可以对sortType进行限制,必须是ASC或者DESC.另外,还要对sortName也进行限制,因为当sortType为空字符串时,可能通过sortName也能注入成功。对于sortName的限制策略有多种:1.可以判断这个值是不是数据库的某个字段名;2也可以通过字符串长度进行限制,例如限制在20个字符内等。


[size=large][b]备注:[/b][/size]上面提到的方式对于多重排序字段的请求不兼容,需要另外考虑其他设计,例如设计成数组来存储排序列和排序方式。同时,对于有些DBMS可以将SQL表达式作为排序字段的,也需要另外考虑。
iteye_6026
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
因为预编译的SQL语句在执行时,会将参数作为变量处理,而不是作为SQL的一部分,从而避免了恶意用户通过传入恶意SQL代码进行攻击。 2. **$ 的使用**: 相比之下,`$`符号则会直接将传入的参数值替换到SQL字符串中,...
ibatis order by 防止sql注入
weixin_30439031的博客
09-09 335
(1) 排序控制 select TABLE_NAME, TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$ Where the user input ordertype ASC, DESC. On this keyword, use the $ordertype: SQLKEYWORD$ replacement $ ...
SQL注入ORDER BY注入_order by sql注入问题
最新发布
2401_84970069的博客
05-13 795
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
java order by 防止注入的方法
滕青山博客
01-04 2434
注入方法 /** * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序) */ public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"; /** * 检查字符,防止注入绕过 */ public static String escapeOrderBySql(String value) { if (StringUtils.isNotEm
[实践总结] 如何防护order by导致的SQL注入
张紫娃的博客
12-30 1443
example.setOrderByClause("字段名1 ASC/DESC,字段名2 ASC/DESC,...");
如何防止SQL 注入
Pastxu的小屋
04-22 540
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 说明 直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
详解Mybatis框架SQL注入指南
08-18
Mybatis框架是一个流行的Java持久层框架,它允许开发者直接编写SQL语句,提供灵活的数据访问。然而,这种灵活性也带来了安全风险,特别是SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过输入恶意...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
MySQL 安全防止 SQL 注入攻击
wjq008的专栏
04-27 1678
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
java避免使用orderby,使用Order By的准备好的语句来防止SQL注入Java
weixin_42626820的博客
02-26 505
I have a query with where conditions , order by and limit. I am using prepared statements to set the where conditions and limit. Currently i am using string append for order by which causing SQL injec...
html sql注入_本以为用了 MyBatis 框架就万无一失了,没想到还是被黑客注入了.......
weixin_39913422的博客
11-20 118
来源:freebuf.com/vuls/240578.html前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。一、Mybatis的SQL注入 Myba...
order by 注入
硫酸超的博客
08-07 2455
order by 注入前言直接添加注入语句利用一些函数利用 andorderby stacked injection 前言 尝试?sort=1 desc 或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列) 从上述的 sql 语句中我们可以看出,我们的注入点在 order by 后面的参数中,而 order by 不同于的我们在 where 后的注入点,不能使用 union 等进行注入。 如果order by '1’显示的是默认排序 直接添加注入语句 ?sort=(select ******
mysql order by sql注入_SQL注入学习报告
weixin_39889329的博客
02-07 330
SQL注入核心思想:在正常需要调用数据库数据的URL后面构造一段数据库查询代码,然后根据返回的结果,获得某些想要的数据。(1)MySQL基本操作:select version(); 查看数据库版本select user(); 查看数据库当前用户select database(): 查看当前数据库show database; 查看MySQL中包含哪些数据库show tables; 查看数据库中的表名...
防止SQL注入的四种方案
dehuisun的专栏
09-05 9523
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
若依封装的SqlUtil [防sql注入order by,校验order by语法规则]
snowing1997的博客
07-14 837
若依封装的SqlUtil [防sql注入order by,校验order by语法规则]
Order by语句怎么进行注入
05-03
攻击者可以通过在Order by语句中注入恶意代码来执行SQL注入攻击。以下是一个示例: 假设有一个查询语句如下: ``` SELECT * FROM users ORDER BY name DESC; ``` 攻击者可以在Order by语句中注入恶意代码,例如:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值