简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性

最新推荐文章于 2023-02-22 11:08:05 发布
最新推荐文章于 2023-02-22 11:08:05 发布
阅读量726 收藏 2
点赞数
文章标签: sql 数据库 list 工作

并非人人是高手,并非人人是神仙,我也有不懂的地方,我也有不注意的技术问题,多交流多学习就是最好的提高方法

 

   其实对与初学者来说,进行的动态的查询语句拼接也不是那么好做的事情,就是做出来了,也未必是经得起考验的足够灵活好用的,未必是能拿得出手可以进行推广的,是否能拿得出就是其中的关键。

 

   今天检查公司的软件项目质量,发现有2个同事写的程序存在SQL注入攻击的漏洞,当然也不能怪罪人家,他们也是刚参加工作1-2年,还没有那么丰富的技术经验、安全意识,不会注意到自己编写的系统会有严重的安全漏洞。

   公司在宁波也有一个政府网站的项目,在做系统安全检查自动扫描时,也被查出了一些SQL注入攻击的漏洞,这也使得让我更加提高了系统是否存在安全漏洞的意识,当然我写的系统很少会有这类的漏洞,但是整个公司有几十号人在做开发公司,所以也难免别人不会犯错。

  

   人工检查是否有SQL注入安全漏洞,其实非常简单,只要在查询输入框里输入有单引号的字符“'”,例如查询条件输入“吉日'嘎拉”其中有单引号,很可能这个查询的页面就崩溃了出现了错误页面,或者跳转到出错页面了,若有这样的情况发生,几乎99.3721%都可以看做是有潜在的SQL注入攻击漏洞。

 

   防止这个错误的发生,从技术上应该说是要用“参数化的查询”,贴一些代码,给大家参考一下我的做法:

代码
         #region  public DataTable Search(string folderId, string searchValue, Boolean deleteMark) 查询
         ///   <summary>
         ///  查询
         ///   </summary>
         ///   <param name="folderId"> 目录 </param>
         ///   <param name="searchValue"> 查询条件 </param>
         ///   <param name="deleteMark"> 删除标志 </param>
         ///   <returns> 数据表 </returns>
         public  DataTable Search( string  folderId,  string  searchValue, Boolean deleteMark)
        {
             //  一、这里是将Boolean值转换为int类型。
             int  delete  =  deleteMark  ?   1 0 ;

             //  二、这里是开始进行动态SQL语句拼接,字段名、表明都进行了常量定义,表名字段名发生变化时,很容易就知道程序哪里都调用了这些。
             string  sqlQuery  =   string .Empty;
            sqlQuery  =   "  SELECT  "   +  BaseNewsTable.FieldId
                     +   "         , "   +  BaseNewsTable.FieldFolderId
                     +   "         , "   +  BaseNewsTable.FieldTitle
                     +   "         , "   +  BaseNewsTable.FieldFilePath
                     +   "         , "   +  BaseNewsTable.FieldFileSize
                     +   "         , "   +  BaseNewsTable.FieldReadCount
                     +   "         , "   +  BaseNewsTable.FieldDescription
                     +   "         , "   +  BaseNewsTable.FieldCategoryCode
                     +   "         , "   +  BaseNewsTable.FieldEnabled
                     +   "         , "   +  BaseNewsTable.FieldDeleteMark
                     +   "         , "   +  BaseNewsTable.FieldSortCode
                     +   "         , "   +  BaseNewsTable.FieldCreateUserId
                     +   "         , "   +  BaseNewsTable.FieldCreateUserRealname
                     +   "         , "   +  BaseNewsTable.FieldCreateDate
                     +   "         , "   +  BaseNewsTable.FieldModifyUserId
                     +   "         , "   +  BaseNewsTable.FieldModifyUserRealname
                     +   "         , "   +  BaseNewsTable.FieldModifyDate
                     +   "  FROM  "   +   this .CurrentTableName
                     +   "  WHERE  "   +  BaseNewsTable.FieldDeleteMark  +   "  =  "   +  delete;

             //  三、我们认为 folderId 这个查询条件是安全,不是人为输入的参数,所以直接进行了SQL语句拼接
             if  ( ! String.IsNullOrEmpty(folderId))
            {
                sqlQuery  +=   "  AND  "   +  BaseNewsTable.FieldFolderId  +   "  = ' "   +  folderId  +   " ' " ;
            }

             //  四、这里是进行参数化的准备,因为是多个不确定的查询参数,所以用了List。
            List < DbParameter >  dbParameters  =   new  List < DbParameter > ();

             //  五、这里看查询条件是否为空
            searchValue  =  searchValue.Trim();
             if  ( ! String.IsNullOrEmpty(searchValue))
            {
                 //  六、这里是进行支持多种数据库的参数化查询
                sqlQuery  +=   "  AND ( "   +  BaseNewsTable.FieldTitle  +   "  LIKE  "   +  DbHelper.GetParameter(BaseNewsTable.FieldTitle);
                sqlQuery  +=   "  OR  "   +  BaseNewsTable.FieldCreateUserRealname  +   "  LIKE  "   +  DbHelper.GetParameter(BaseNewsTable.FieldCreateUserRealname);
                sqlQuery  +=   "  OR  "   +  BaseNewsTable.FieldContents  +   "  LIKE  "   +  DbHelper.GetParameter(BaseNewsTable.FieldContents);
                sqlQuery  +=   "  OR  "   +  BaseNewsTable.FieldDescription  +   "  LIKE  "   +  DbHelper.GetParameter(BaseNewsTable.FieldDescription)  +   " ) " ;
                
                 //  七、这里是判断,用户是否已经输入了%
                 if  (searchValue.IndexOf( " % " <   0 )
                {
                    searchValue  =   " % "   +  searchValue  +   " % " ;
                }

                 //  八、这里生成支持多数据库的参数
                dbParameters.Add(DbHelper.MakeInParam(BaseNewsTable.FieldTitle, searchValue));
                dbParameters.Add(DbHelper.MakeInParam(BaseNewsTable.FieldCreateUserRealname, searchValue));
 %3
jirigala
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言动态拼接sql语句
07-20
动态拼接SQL语句的主要目的是为了提高程序的灵活性,使得可以根据不同的条件或参数生成不同的查询。在易语言中,这通常通过字符串操作函数实现,如“+”用于连接字符串,以及“%”用于格式化字符串。例如,我们可以...
SQL SERVER 中构建执行动态SQL语句方法
12-16
SQL Server中,动态SQL是一种在运行时构造和执行SQL语句方法,它允许开发者根据程序逻辑或用户输入创建和执行不同的SQL查询。这在处理不确定的表名、列名或者需要灵活条件的情况下非常有用。以下是对动态SQL的...
码出高效读书笔记:SQL注入
weixin_41047704的博客
12-30 159
Q1:什么是SQL注入? A1:SQL注入注入攻击中的常见类型,SQL注入攻击是未将代码与数据进行严格的隔离,导致在读取用户数据的时候,错误地将数据作为代码的一部分执行,从而导致一些安全问题。 典型的SQL注入的例子是当对SQL语句进行字符串拼接操作时,直接使用未加转义的用户输入内容作为变量。例如: var testCondition; //测试内容变量 te...
高效SQL注入函数
爱心
08-10 1491
 FUNCTION CHECKSTR(ISTR)DIM ISTR_FORM,SQL_KILL,SQL_KILL_1,SQL_KILL_2,ISTR_KILL IF ISTR="" THEN EXIT FUNCTIONISTR=LCase(ISTR)ISTR_FORM=ISTRSQL_KILL="|and|exec|insert|select|delete|update|count|*|%
Excel 动态拼接sql
最新发布
qq_36521848的博客
02-22 604
很多时候,业务给的数据是Excel,开发需要转换成对应的sql语句,使用Excel公式处理。
深入分析若依数据权限@datascope (注解+AOP+动态sql拼接) 【循序渐进,附分析过程】
m0_52134610的博客
04-12 2万+
笔者最近在努力的分析开源项目若依框架,今天看到了若依对数据权限进行控制的部分,自定义注解+AOP+动态SQL注入,看的我是眼花缭乱,然后我又认真的复盘了一遍整个的实现过程,不由得感叹一句,若依YYDS~~ 简单猜测 除了我们平时都知道的 路由权限(即对接口的访问权限外),在日常生产开发中,我们还应该有对数据的访问权限。 在若依这个框架中,通过角色中的数据范围这个属性来对数据权限进行控制。 对应实体类: 深入分析 一个用户肯定是 有一种角色的,也肯定是隶属于一个部门的。 这里咱们就以用户在查询用
excel动态拼接sql语句
zy_crazy_code的博客
09-04 2780
    需求:            根据Excel中的一个字段的值作为条件,把对应行中的其他字段插入。 例子:表A根据id更新Name  =C2&amp;B2&amp;D2&amp;A2&amp;E2   表示单元格根据值&amp;来拼接 ...
易语言源码易语言动态拼接sql语句源码.rar
02-18
总结一下,易语言动态拼接SQL语句源码的学习涵盖了字符串操作、变量嵌入、SQL语法理解、错误处理和安全编程等多个方面,对于提升易语言的数据库编程能力大有裨益。通过对这些知识点的深入学习和实践,你将能够更好地...
分享一下SQL Server执行动态SQL的正确方式
12-16
`SP_EXECUTESQL`是更为推荐的动态SQL执行方法,尤其在需要重复执行相同结构但不同参数SQL语句时。它可以接受参数,这些参数可以在SQL语句中使用,从而减少SQL注入的风险。由于`SP_EXECUTESQL`编译的SQL语句可以被...
C#SQL注入代码的三种方法
09-04
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库,获取、修改、删除敏感信息,甚至完全控制服务器。...通过上述C#方法,开发者可以有效地降低SQL注入的风险,提高应用程序的安全性
javasql注入sql语句拼接工具sqlHandle
o1587790525的专栏
11-18 6507
我在做网站的时候有一个需要在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以sql注入的困扰。
SQL注入思路分析(入门必看)
Pz_mstr's Blog
08-14 9763
纵观各种教程,有稍微讲解一下直接po步骤的,有对原理讲的很仔细的但步骤不明确的,因此便想做一个教程,将每一步写清楚,将思路理顺,让SQL注入入门不再困难!
存储过程里动态生成包含SQL语句字符串
Simplicity is more complicated than you think
08-01 1370
某些时候,我们希望直接传递字段名、表名、where条件甚至 SQL 语句本身等字符串到存储过程,在存储过程里将不同的参数值组合成不同的 SQL 语句执行,Microsoft SQL Server 提供两种方法实现这个目的。一、使用 sp_executesql 系统存储过程执行 Unicode 字符串1、直接组合 SQL 语句执行CREATE PROCEDURE p_Test1@TableNam
sql注入--基本注入语句学习笔记
超人学飞的日子
05-31 1万+
接触到sql注入知识,做了一些常识,这里做一个完整的记录。一,联合查询联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。二,注释语句sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。1,#注释符此时后面的limit 0,30并没有生效。2,--空格注释符 注意在--后面有个空格,否则会报错,不...
Sql盲注与普通注入的区别
热门推荐
过客璇璇的博客
03-12 3万+
Sql盲注与普通注入的区别 在学习sql注入的时候,好多同学都是不弄清楚原理,去浏览器上狂搜一下注入语句,就开始对老师给的靶机注入,虽然能注入成功,但是不清楚原理,对以后的学习和工作没有多大的好处。现在我就讲一下sql盲注与普通注入的区别! 首先,何为sql盲注?可能这个问题一下子就把你问蒙蔽了。 盲注就是在sql注入过程中,sql语句执行的选择后,选择的...
利用excel批量拼接SQL语句的几处细节
fan7654li的博客
06-09 3901
excel SQL 拼接 批量
代码设计篇—数据权限拼装sql通用解决方案
weixin_45497155的博客
05-07 1034
笔者最近仿照PageHelper写了一个拼装sql的组件,需要灵活拼装多个字段,在遇到多子查询时难以做到通用。笔者最终放弃对sql进行截取拼装,想了一个比较讨巧的方案,仿照Mybatis自定义一个特殊字符,然后在拦截器里替换。不过这种方案也比较坑,需要在sql里列出要过滤的字段,等笔者想出更好的方案时再进行补充,下面先看下用特殊字符的方案。 @Component @Intercepts( ...
excel 拼接sql 语句
xu990128638的专栏
10-26 6224
=CONCATENATE("insert into t_osc_replenishment_analysis (city_id,delivery_date,replenishment_total_money,paid_replenishment_money,loss_money,create_time)values('"&A2&"',"&" '"&B2&"','"&C2&"',"&"'"&D2&"
用excel使用函数拼接sql语句
jiaok_1105的博客
01-16 3092
="insert into fnd_recording_t select fnd_recording_s.nextval,'"&B18568&"','cpl','main','"&D18568&"','"&G18568&"','"&F18568&"',to_date('"&E18568&"', 'yyyy-mm-dd hh24:mi:ss'),'','' from dual;"
信息安全技术之SQL注入攻击
12-17
其次,使用参数化查询或预编译语句,避免拼接SQL语句,从而减少注入的可能性。同时,限制数据库用户的权限,避免给攻击者提供过多的操作权限。此外,定期更新和维护应用程序和数据库,及时修补已知的安全漏洞,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值