sql注入产生的原因以及如何防止?

最新推荐文章于 2024-06-05 14:13:37 发布
最新推荐文章于 2024-06-05 14:13:37 发布
阅读量1.5w 收藏 15
点赞数 3
分类专栏: 数据库 文章标签: sql注入的原因 防止sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/living_ren/article/details/79431758
版权

1.sql注入产生的原因:
程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行;

2.防止过滤:
1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤;
2).在PHP配置文件中register_global=off;(设置为关闭状态)作用是将注册全局变量关闭掉;
3).sql语句书写的时候尽量不要忽略小引号和单引号;
4).提高数据库命名技巧,对于一些重要字段根据程序特点命名,取不易猜到的;
5).对于常用的方法加以封装,避免直接暴露sql语句;
6).开启安全模式,safe_mode=on;
7).打开magic_quotes_gpc=off,默认是关闭的,它打开后自动把用户提交的sql语句进行转换(加上\转义),这对防止sql注入有很大作用;因此开启magic_quotes_gpc=on
8).控制错误信息:关闭错误提示信息,将错误信息写入系统日志文件;
9).使用mysqli和pdo进行处理;

living_ren
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7342
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
SQL注入详解
m0_67391121的博客
07-28 3473
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的品。...
SQL注入产生原理
weixin_45871926的博客
01-12 1203
SQL注入就是一种通过操作输入来修改后台SQL语句达到代码执行进行攻击目的的技术。 1.对用户输入的参数没有进行严格过滤(如过滤单双引号、尖括号等),就被带到数据库执行,造成了SQL注入 2.使用了字符串拼接的方式构造SQL语句 3.$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 将$id替换为下面语句: 1' and 1=1 union select * from manage into outfile "D:/234.txt" --+;
sql注入详解
最新发布
Cairo_A的博客
06-05 868
SQL注入是由于程序没有对用户输入数据的合法性进行验证和过滤,导致SQL查询语句被恶意拼接从 而产生SQL注入
防止sql注入
weixin_43778463的博客
09-19 375
防止sql注入
SQL 注入式攻击及应对方案
灰寨小学的python---小陈
07-03 400
SQL 是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系型数据库系统··SQL注入式攻击,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,达到欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入等待内容直接用来构造动态SQL命令,或作为存储过程的输入参数,这类表单特别容易沙鸥到SQL注入式攻击总结:程序开发过程中不注意书写规范,对sql语句和关键字未进行...
JDBC如何有效防止SQL注入
12-14
SQL注入是一种常见的网络安全威胁,它允许...总的来说,防止SQL注入的关键在于对用户输入的严格管理和控制,以及在数据库访问层面上采用安全的编程实践。结合这些方法,可以显著降低SQL注入的风险,保护系统免受攻击。
SQL 注入式攻击的本质
09-11
SQL 注入式攻击,又是注入式攻击,没想到2008年这个老掉牙的东西又出来搅风搅雨
Pyhton中防止SQL注入的方法
12-25
复制代码 代码如下: c=db.cursor() max_price=5 ...如果按照以下写法,是容易产生SQL注入的: 复制代码 代码如下: c.execute(“””SELECT spam, eggs, sausage FROM breakfast  WHERE price < %s””” %
信息安全技术:SQL注入产生原因.pptx
11-01
SQL注入产生原因SQL注入是一种常见的网络安全威胁,它源于应用程序设计时的不足,特别是当开发者没有正确处理用户输入的数据时。攻击者可以利用这种漏洞,通过在输入字段中插入恶意的SQL代码,来操控数据库...
sql注入原理简介
08-26
一、什么是sql注入? 二、sql注入产生原因 三、sql注入原理 四、sql注入共计的简单示例
SQL注入思路详解
12-14
3. **确认注入的存在及类型**:如果测试语句产生了预期的异常或改变了原有查询的结果,那么就可能存在SQL注入。接下来,攻击者会尝试确定数据库类型,因为不同的数据库系统对SQL语法的响应和错误处理是不同的。这...
SQL注入是如何产生的,如何防止
wang2028的博客
09-16 1939
SQL注入是如何产生的,如何防止?   程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。产生sql注入。下面是防止方法:     a. 过滤掉一些常见的数据库操作关键字,或者通过系统函数来进行过滤。       b. 在PHP配置文件中将register_globals=off;设置为关闭状态      ...
SQL 注入漏洞产生原因?如何防止
siyuanwai的博客
07-29 1228
SQL 注入产生原因: 程序开发过程中不注意规范书写sql 语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST 和GET 提交一些sql 语句正常执行。 防止SQL 注入的方式: 开启配置文件中的magic_quotes_gpc 和magic_quotes_runtime 设置 执行sql 语句时使用addslashes 进行sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉sql 语句中的一些关键词: update、insert、delete、select、* 。 提高数据
数据库基础之高级数据过滤
qq_41720578的博客
04-25 227
1、组合where子句 首先列举下where中支持的操作符: 表1-1 WHERE子句操作符 操作符 说明 = 等于 <> 不等于 != 不等于 < 小于 <= 小于等于 !< 不小于 > 大于 >= 大于等于 !> 不大于 between 在指定的两个值之间 IS NULL 为NULL值 注意:操作符兼容 表1-1中列出的某些操作符
PHP常用知识点总结(全实用)
weixin_47127690的博客
02-25 1254
常用知识点总结: 如何进行防SQL注入? (1)过滤常见数据库操作关键字:select,insert,update,delete,and,*等,或通过系统函数:addslashes(需被过滤内容)过滤。 (2)PHP配置文件Register_globals=off;//注册全局变量关闭。 (3)SQL书写不要省略小引号(tab上)和单引号。 (4)高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的 (5)常用方法封装,避直接暴漏SQL 。 (6)PHP安全模式Safe_mode=on;。
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 8078
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
SQL注入原因及其解决方法
zhanchulan的博客
08-19 917
SQL 注入产生原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
如何防止SQL注入产生
05-24
防止 SQL 注入攻击的方法有以下几种: 1. 使用参数化查询(Prepared Statements):这是最常见和最有效的防止 SQL 注入攻击的方法之一。使用参数化查询,数据库引擎会将参数和 SQL 查询分开处理,从而避免了恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值