Sql语句防止注入方法

最新推荐文章于 2023-05-16 07:40:27 发布
最新推荐文章于 2023-05-16 07:40:27 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: MySQL 文章标签: Sql语句防止注入方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leyangjun/article/details/12836825
版权

 

如果用户输入的内容直接插入到SQL查询语句中,应用程序容易受到SQL注入攻击,就像下面的例子:

$unsafe_variable = $_POST['user_input'];

mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");

 

因为用户可以输入:value'); DROP TABLE table;--,查询语句变为:

INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')

那该如何防范呢?

 

我们需要采用预处理语句和参数化查询。SQL语句由数据库服务器根据参数解析,这种方式使攻击者无法生成恶意的SQL命令。

方式有两种:

1. 使用PDO

 

1
2
3
4
5
$stmt = $pdo->prepare( 'SELECT * FROM employees WHERE name = :name' );
$stmt->execute(array( ':name' => $name));
foreach ($stmt as $row) {
     // do something with $row
}

2. 使用mysqli

2.1 例子1

 

1
2
3
4
5
6
7
8
9
$stmt = $dbConnection ->prepare( 'SELECT * FROM employees WHERE name = ?' );
$stmt ->bind_param( 's' , $name );
 
$stmt ->execute();
 
$result = $stmt ->get_result();
while ( $row = $result ->fetch_assoc()) {
     // do something with $row
}

2.2 例子2

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
     $mysqli = new mysqli( "server" , "username" , "password" , "database_name" );
 
     // TODO - 检查连接是否成功
 
     $unsafe_variable = $_POST[ "user-input" ];
 
     $stmt = $mysqli->prepare( "INSERT INTO table (column) VALUES (?)" );
 
     // TODO 检查 $stmt 创建成功
 
     // "s" means the database expects a string
     $stmt->bind_param( "s" , $unsafe_variable);
 
     $stmt->execute();
 
     $stmt->close();
 
     $mysqli->close();
?>

PDO

 

需要注意的是,当使用PDO访问MySQL数据库,真正的预处理语句并未使用,为了解决这个问题,你必须禁止仿真预处理语句,下面是一个创建PDO连接的例子:

 

1
2
3
4
$dbConnection = new PDO( 'mysql:dbname=dbtest;host=127.0.0.1;charset=utf8' , 'user' , 'pass' );
 
$dbConnection ->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection ->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

上面的代码中,错误模式的设置并不是必须的,但还是建议加上它。这样脚本遇到错误不会停止,给开发者catch PDOException异常的机会。

 

第一行的setAttribute是必须的,它告诉PDO禁用仿真预处理,使用真正的预处理。这样确保语句在发送给MySQL服务器前没有通过PHP解析,不给攻击者注入SQL的机会。

 

另外,对于PHP版本小于5.3.6,我需要在连接字符串中添加charset参数。

 

使用预处理语句的另外一个好处是,如果你在同一会话中多次执行相同的语句,只被解析和编译一次,提高了速度。

 

下面再给出一个PDO例子:

 

1
2
3
$preparedStatement = $db ->prepare( 'INSERT INTO table (column) VALUES (:column)' );
 
$preparedStatement ->execute( array ( ':column' => $unsafeValue ));

 

 

 

乐杨俊
关注
专栏目录
C#使用带like的sql语句时防sql注入方法
09-04
本文将探讨如何在C#中使用带`LIKE`的SQL语句防止SQL注入。 首先,让我们了解什么是SQL注入。当程序直接将用户输入的字符串拼接到SQL查询中时,如果未进行适当的数据验证和转义,攻击者就可能插入有害的SQL代码,...
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
防止SQL语句注入
唐夫人
05-14 765
mysql_escape_string(strip_tags(arr[&quot;arr[&quot;arr["val"])); 函数名称:post_check() 函数作用:对提交的编辑内容进行处理 参  数:$post: 要提交的内容 返 回 值:$post: 返回过滤后的内容 function post_check($post){ if(!get_magic_quotes...
利用sql预处理语句 防止sql注入
grace_fang的博客
10-12 1058
写一个简单的登陆系统 前端代码 登录页面 username: password: > 后台提交至 doLogin.php <?php header('content-type:text/html;charset=utf-8'); $mysqli=new mysqli('localhost','root','','test'); if($mys
SQL防注入
miss1457的博客
05-17 267
SQL防注入url防注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url防注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
防止SQL注入
江拥羡橙的博客
05-16 590
SQL注入是比较常见的网络攻击方式之一,它不是利用**操作系统**的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改**数据库**。
c++ sql语句注入方法
最新发布
11-11
4.使用ORM框架:ORM框架可以自动将对象映射到数据库中的表,从而避免手动编写SQL语句,减少了注入攻击的可能性。 5.使用存储过程:存储过程是一种预编译的SQL代码块,可以在数据库中存储和重复使用。使用存储过程...
C#防SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一  在Web.config文件中
数据库优化_SQL语句优化_SQL注入攻击_如何防止SQL注入攻击
huitailang857的博客
07-23 441
1.1关于数据库优化 (1)查询时,能不用* 就不用,尽量写全字段名。 (2)索引不是越多越好,每个表控制在6个索引以内。范围where条件的情况下,索引不起作用,比如where value<100 (3)大部分情况连接效率远大于子查询,但是有例外。当你对连接查询的效率都感到不能接受的时候可以试试用子查询,虽然大部分情况下你会更失望,但总有碰到惊喜的时候不是么… (4)多用explain 和 profile分析查询语句 (5)有时候可以1条大的SQL可以分成几个小SQL顺序执行,分了吧,速度会快很多。
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
.Net防sql注入的几种方法
01-01
防sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过来与检测; 着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: public class SqlInjectHelper:System.Web.UI.Page { private static string StrKeyWord = select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(
JDBC防注入sql语句书写
qq_36010615的博客
03-25 535
package cn.itcast.test; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statemen...
避免SQL注入
qq_48717604的博客
10-31 199
什么是SQL注入攻击 SQL注入即使指Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中实现定义好的查询语句的结尾添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. 如何防止SQL注入 SQL有句老话,有输入的地方就有可能存在SQL注入,该如何防止SQL注入?SQL注入产生的原理归根结底还是用户输入的代码被数据库执行了,所有解铃还须系铃人,防御SQL注入还是要在代码层面上去解决 解决方案
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6618
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
c#执行sql语句里面带有like查询的时候如何防止sql注入
weixin_30416497的博客
01-13 279
#region/// 过滤html,js,css代码 /// <summary> /// 过滤html,js,css代码 /// </summary> /// <param name="html">参数传入</param> /// <returns></returns&gt...
怎么防止SQL注入
。。。。
03-21 7183
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
怎样写防止Sql注入Sql语句
xuanwuziyou的专栏
01-12 5583
1.什么是SQL注入     所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 2.如何防止SQL注入 防止SQL注入方法有两种:     a.把所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做
like 语法防止 SQL注入
weixin_44609018的博客
06-02 931
like 语法防止 SQL注入 Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: select * from t_user where name like '%' || #{name} || '%' SQLServer: select * from t_user where name like '%' + #{name} + '%'
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值