sql注入原理及防范

最新推荐文章于 2024-07-16 20:32:10 发布
最新推荐文章于 2024-07-16 20:32:10 发布
阅读量766 收藏
点赞数
分类专栏: mysql 文章标签: sql注入 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/little_spark/article/details/37889177
版权
一: sql注入原理

原理就是利用服务器执行sql参数时的特殊性,将正常的数据库字段注入特征字符组成新的SQL语句,导致原来的sql语句“变了味”

举一个简单的例子
$id = $_GET['id'];  /// id= 10001 OR 1 = 1 #
$qq = $_GET['name']; // name= "12444' OR 1 = 1 #"
$sql = "SELECT * FROM `user` WHERE id=$id AND $name = '".$name."'";
$results = $db->query($sql);

二: 如何防范:

必要步: php.ini内开启magic_quotes_gpc=On

1. web参数过滤,只允许约定的字符出现

2. 拼装的sql语句用mysql_real_escape_string方法进行过滤
$username = mysql_real_escape_string($_GET['username']);

3. mysql用户权限设置,不要用root

4.使用rewrite,不过只是增加了hack成本而已,用firebug或Fiddler还是可以看出来的真实的请求接口及参数名

5.记录一下错误日志,定期的排查 

6. 使用一些sql注入扫描工具测试,如 SQLIer,SQLMap

7. 可以考虑使用pdo或orm,在安全方面肯定比mysql,mysqli好

附:

PDO的prepare是怎么防范SQL注入的
当调用prepare()时,查询语句先被发送给了MYSQL,此时只有占位符发送过去,没有用户提交的数据(MYSQL做预编译,一定程度上会优化查询效率,特别是对同个SQL模版进行多次调用时);当调用execute()时,用户提交的值才会传送给MYSQL。从而达到防范SQL注入的目的。.
little_spark
关注
专栏目录
安全架构-SQL注入原理防范
ctotalk
12-17 8102
安全架构系列文章 SQL注入攻击原理防范 文章目录安全架构系列文章前言一、sql注入是什么?二、防范方法1.Java处理2 .NET处理总结 前言 一、sql注入是什么? SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。 * 什么意思呢?我们来打个比方:我们有一个登录框,需要输入用户名和密码对吧,然后我们的密码输入 'or ‘123’ = '123 这样的。 我们在查询用户名和密码是否正确的时候,本来执行的sql语句是:select * from use
SQL注入原理及预防SQL注入的方法
m0_58816585的博客
05-31 1419
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露。下面要为大家介绍的是SQL注入,对于sql注入,相信程序员都知道或者使用过,如果没有了解或完全没有听过也没有关系,我们可以通过下面来一起学习下。 什么是sql注入sql注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(
SQL注入攻击的原理及其防范措施
12-16
SQL注入攻击的原理及其防范措施
sql注入漏洞原理
wsp1的专栏
02-28 4340
    ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上
Spark学习之SparkSQL
最新发布
m0_58050808的博客
07-16 801
Spark SQL中的DataFrame DSL(Domain Specific Language,领域特定语言)是一种用于处理DataFrame的编程风格,它允许开发者以命令式的方式,通过调用API接口来操作DataFrame。这种风格**介于代码和纯SQL之间,**提供了一种更加灵活和强大的数据处理方式。DataFrame DSL(Domain Specific Language,领域特定语言)中的。idea里面将代码编写好打包上传到集群中运行,上线使用。
SQL注入原理防范
zhubaoJay的博客
09-30 461
SQL注入原理     SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL注入产生原因     ①不当的类型处理;     ②不安全数据库配置;     ③不合理的查询集处理;     ④不当的错误处理;  
SQL注入原理防范方法.pdf
09-19
二、SQL注入原理 1. 一阶SQL注入 一阶SQL注入是指攻击者通过一次HTTP请求即可向数据库中注入恶意SQL代码,以实现非法访问或对数据库进行非授权修改。攻击过程即刻执行,对系统的危害是即时和严重的。 2. 二阶SQL...
sql注入原理防范原理
06-07
防范SQL注入攻击的原理包括以下几点: 1. 数据过滤:在客户端或服务端对输入数据进行过滤,过滤掉特殊字符和SQL关键字,避免攻击者通过输入恶意数据来注入SQL语句。 2. 预编译语句:使用预编译语句可以防止SQL注入...
SQL注入攻击原理分析及JavaWeb环境下的防范措施.pdf
07-23
本文在分析了SQL 注入原理的基础上,提出了几点Java Web 环境下防范措施。   随着Ineternet 技术的迅猛发展,为了能更充分地使用互联网这个世界上最大的交流平台,许多单位或个人纷纷建立自己的网站。但是...
SQL注入原理防范
Macross的专栏
10-26 1013
SQL注入就是攻击者通过正常的WEB页面,把自己SQL代码传入到应用程序中,从而通过执行非程序员预期的SQL代码,达到窃取数据或破坏的目的。  当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生SQL注入SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令
SQL注入的实现原理防范
Derry的专栏
03-24 782
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候需要根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据.   SQL注入攻击的总体思路是:   1. 发现SQL注入位置;   2. 判断后台数据库
SQL注入原理以及如何避免注入
dgz41976的博客
07-21 393
SQL注入:到底什么时候会用到SQL呢?回答是访问数据库的时候,也就是说SQL注入-->直接威胁到了数据源,呵呵,数据库都收到了威胁,网站还能正常现实么? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通...
sql注入原理防范方式
拾忆的博客
08-16 2584
前言         sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了。最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点,因此共同记录学习一下。 正文 原理         sql注入原理是将sql代码伪装到输入参数中,传递...
深入理解 SQL 注入攻击原理与防御措施
pleaseprintf的博客
08-23 966
SQL 注入是一种常见的网络攻击方式,攻击者通过在输入框等用户交互界面中插入恶意 SQL 语句,从而获取、篡改或删除数据库中的数据。本文将详细解释 SQL 注入的原理,并介绍如何通过编码规范和防御措施来预防这种攻击。通过本文,你已经了解了 SQL 注入攻击的原理和防御措施。为了保障应用程序的安全性,务必要养成编写安全数据库查询和遵循安全编码规范的习惯。希望本文对你理解和预防 SQL 注入攻击有所帮助。
SQL注入是什么?SQL注入原理及预防方法
JustinMars的博客
06-12 1015
SQL注入是由于对用户输入处理不当引发的严重安全漏洞,防止SQL注入需要综合使用参数化查询、准备语句、输入验证、转义等技术,同时遵循最小权限原则并进行定期安全测试和代码审计。通过这些措施可以有效防止SQL注入攻击,保护应用程序和数据的安全
sql注入定义、原理、攻击和防护
军说网事
07-31 2589
sql注入定义、原理、攻击和防护
【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项
weixin_33742618的博客
11-24 217
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared statements and stored procedures Many of the...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值