Lua中如何防止sql注入

最新推荐文章于 2024-02-08 15:08:51 发布
最新推荐文章于 2024-02-08 15:08:51 发布
阅读量3.4k 收藏 4
点赞数
分类专栏: Lua 文章标签: lua sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljp1919/article/details/78559384
版权

背景:

假设我们在用户登录使用上 SQL 语句查询账号是否账号密码正确,用户可以通过 GET 方式请求并发送登录信息比如:

http://localhost/login?name=person&password=12345

那么我们上面的代码通过 ngx.var.arg_namengx.var.arg_password获取查询参数,并且与 SQL 语句格式进行字符串拼接,最终 sql语句会是这个样子的:

local sql = select id, name from user where name='person' and password='12345' limit 1;

正常情况下,如果 person 账号存在并且 password 是 12345,那么 sql 执行结果就应该是能返回 id 号的。这个接口如果暴露在攻击者面前,那么攻击者很可能会让参数这样传入:

name="' or ''='"
password="' or ''='"

那么这个 sql语句就会变成一个永远都能执行成功的语句了。

local sql = select id, name from user where name='' or ''='' and password='' or ''='' limit 1;

这就是一个简单的 sql注入case,如何防止这种 SQL 注入呢?

解决方案:

只需要对传入参数的变量做一次字符转义,把不该作为破坏 SQL 查询语句结构的双引号或者单引号等做转义,把 ’ 转义成 \’,那么变量 name 和 password 的内容将严格作为查询条件传入。
那么怎么做到字符转义呢?要知道每个数据库支持的 SQL 语句格式都不太一样啊,尤其是双引号和单引号的应用上。对于本文使用的ngx_lua模块,我们采用ngx.quote_sql_str函数进行SQL 语句字符转义。
实现如下即可:

 local name = ngx.quote_sql_str(ngx.var.arg_name)
 local password = ngx.quote_sql_str(ngx.var.arg_password)

在此基础上再进行sql语句的拼接。

JasonLiu1919
关注
专栏目录
nginx防mysql注入_nginx的安全之通过nginx+lua的waf防火墙防sql注入和cc攻击
weixin_36314729的博客
01-29 519
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
openresty 防止sql注入
weixin_43931625的博客
07-13 559
openresty 防止sql注入
Bypass ngx_lua_waf SQL注入防御(多姿势).pdf
12-21
Bypass ngx_lua_waf SQL注入防御(多姿势).pdf
Bypass ngx_lua_waf SQL注入防御(多姿势)
06-04 1551
0x00 前言 ​   ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录,摘录几条核心的SQL注入防御规则: select.+(from|limit) (?:(union(.*?)select)) (?:from\W+information_schema\W) 这边主要分享三种另类思路,Bypass ngx_lu...
防止SQL注入攻击
jackyrongvip的专栏
02-05 749
看了本期ASP。NET杂志里的一篇讲防止SQL注入攻击的文章,里面讲的不错,摘录其一段防范的函数如下Function SafeRequest(ParaName,ParaType)--- 传入参数 ---‘ParaName:参数名称-字符型‘ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)Dim ParaValueParaValue=Requ
请使用lua编写代码实现nginx对CC攻击SQL注入和XSS攻击进行防御的功能
最新发布
黑客CN博客
02-08 445
if ngx.re.match(value, "
nginx+lua防采集
yanggd1987的专栏
05-16 1847
简介 之前介绍了nginx+lua+redis实现验证码防采集,在此基础上我又增加了搜索引擎的域名反查,以排查伪造搜索引擎的爬虫。原理是查看根据useragent为搜索引擎的客户端,如:百度、搜狗、谷歌等;通过nslookup或其他工具反查其ip所对应的域名是否包含baidu、sogou等关键字,若包含则直接加入白名单;否则认为是伪造搜索引擎的。当然更严谨的是判断其一级域名的关键字是否为baid...
谈谈预防SQL注入
waley的博客
04-27 1541
SQL注入造成SQL注入的原因SQL注入是通过在SQL语句被数据库解析之前,以修改其语法的形式工作的。只要你在解析语句之前插入动态部分,就存在SQL注入的风险。动态部分:1、 用户传递进来的参数 2、 有可能是从数据库查询出来的防止SQL注入的一些方法转义防止SQL语句包含任何不匹配的引号的最古老的方法,就是对所有的引号字符进行转义操作,使他们不至于成为字符串的结束符。比如PDO的quote()函...
lua下实现防注入的string.replace函数
古的博客
03-14 8048
lua下实现防注入的string.replace函数 问题 string.gsub是lua下用处非常多的字符串处理函数,其一个很常见的功能就是做字符串替换,但如果要匹配的字符串是来自于系统外(如玩家的名字、公会名这种),那就要小心出现“注入”问题。 下面是一个简单的例子,我们需要把一段含有玩家名字的字符串的玩家名字加上加粗标签。 local some_text = '沉睡的(包子)的神器' l...
第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
### Bypass ngx_lua_waf SQL注入防御方法解析 #### 0x00 前言 ngx_lua_waf是一款基于ngx_lua的Web应用防火墙,以其高性能和轻量级著称。它内置了一系列针对常见攻击手段(如SQL注入)的防御规则。然而,任何安全...
第08篇:Bypass ngx_lua_waf SQL注入防御(多姿势)1
08-03
上述URL,“id”、“ID”、“Id”被视为不同的参数,通过这种方式可以绕过ngx_lua_waf的SQL注入检测规则。 #### 0x02.2 绕过姿势二:GPC (Global Parameter Concatenation) 在某些Web应用程序(如ASPX),...
nginx + lua 构建网站防护waf(一)
weixin_34001430的博客
12-02 243
最近在帮朋友维护一个站点。这个站点是一个Php网站。坑爹的是用IIS做代理。出了无数问题之后忍无可忍终于要我帮他切换到nginx上面,前期被不断的扫描和CC。最后找到了waf这样一个解决方案缓解一下。话不多说直接开始。waf的作用:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web*** 防止svn/备份之类文件泄漏 防止ApacheBench之...
OpenResty预防SQL注入
IPDs的博客
08-07 392
OpenResty 预防 SQL注入
SQL注入过滤代码
06-14 1141
%ASP通用防注入代码 您可以把该代码COPY到头文件.也可以单独作为一个文件存在,每次调用使用 作者:y3gu - 2005-7-29 http://www.dosu.cn 
nginx+lua 构建waf防火墙
zyb378747350的专栏
06-02 2628
nginx+lua 构建waf防火墙
基于Nginx+Lua自建Web应用防火墙
yanggd1987的专栏
09-12 1934
简介 对于信息类网站,总是会被各种不同目的的爬虫、采集器等不断的抓取或恶意访问,这些会让网站不堪重负,导致页面无法正常访问,极大的影响用户体验。针对此种情况,我们就需要对所有的访问来进行访问控制。 此时Web应用防火墙(Web Application Firewall,简称 WAF)就可以助我们一臂之力,它可以为网站提供一站式安全防护。WAF可以有效识别Web业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数
突破 Sql 防注入过滤程序继续注入的一点方法、经验、技巧总结
eldn__的专栏
04-16 2575
现在网上流传很多防注入代码。这些真的有用吗?这是在网上找的一个防注入代码 例如: ''''--------定义部份------------------  Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr  ''''自定义需要过滤的字串,用 "|" 分隔  Fy_In = "''''|;|and|exec|insert|sel
OpenResty 快速入门
axibazZ的博客
09-20 1580
openresty 入门学习,与redis,mysql和kafka的交互
nginx拦截sql注入解决方案
Baron的技术blog
02-23 3307
1.get请求好处理 2 .post请求 由于需要拿到请求体,需要安装lua插件支持 当前方案 : get在server级别处理 post在lication级别处理 if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|WAIT FOR
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值