Mysql数据库安全性问题【防注入】

最新推荐文章于 2024-01-21 03:38:37 发布
最新推荐文章于 2024-01-21 03:38:37 发布
阅读量958 收藏
点赞数
分类专栏: mysql

一、SQL注入实例

后台的插入语句代码:

$unsafe_variable = $_POST['user_input'];   
mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");  
 
 
  • 1
  • 2

当POST的内容为:

value'); DROP TABLE table;--
 
 
  • 1

以上的整个SQL查询语句变成:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')  
 
 
  • 1

二、防止SQL注入措施

1.使用预处理语句和参数化查询。(‘Use prepared statements and parameterized queries.’) 
SQL语句和查询的参数分别发送给数据库服务器进行解析。这种方式有2种实现: 
(1)使用PDO(PHP data object)

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');  
$stmt->execute(array('name' => $name));  
foreach ($stmt as $row) {  
    // do something with $row  
}  
 
 
  • 1
  • 2
  • 3
  • 4
  • 5

(2)使用MySQLi

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');  
$stmt->bind_param('s', $name);  
$stmt->execute();  
$result = $stmt->get_result();  
while ($row = $result->fetch_assoc()) {  
    // do something with $row  
}  
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

2.对查询语句进行转义(最常见的方式)

$unsafe_variable = $_POST["user-input"];  
$safe_variable = mysql_real_escape_string($unsafe_variable);  
mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");  
 
 
  • 1
  • 2
  • 3
$mysqli = new mysqli("server", "username", "password", "database_name");  
// TODO - Check that connection was successful.  
$unsafe_variable = $_POST["user-input"];  
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");  
// TODO check that $stmt creation succeeded  
// "s" means the database expects a string  
$stmt->bind_param("s", $unsafe_variable);  
$stmt->execute();  
$stmt->close();  
$mysqli->close();  
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

3.限制引入的参数

$orders  = array("name","price","qty"); //field names  
$key     = array_search($_GET['sort'],$orders)); // see if we have such a name  
$orderby = $orders[$key]; //if not, first one will be set automatically. smart enuf :)  
$query   = "SELECT * FROM `table` ORDER BY $orderby"; //value is safe  
 
 
  • 1
  • 2
  • 3
  • 4

4.对引入参数进行编码

SELECT password FROM users WHERE name = 'root'            --普通方式  
SELECT password FROM users WHERE name = 0x726f6f74        --防止注入  
SELECT password FROM users WHERE name = UNHEX('726f6f74') --防止注入  

set @INPUT =  hex("%实验%");  
select * from login where reset_passwd_question like unhex(@INPUT) ;  
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

有一些讨论意见,所以我最后想弄清楚。这两种方法非常相似,但它们在某些方面有点不同: 
x前缀只能用于数据列如char、varchar、文本块,二进制,等等。 
其使用也有点复杂,如果你要插入一个空字符串。你必须完全替代”,或者你会得到一个错误。 
任何列工作;您不必担心空字符串。

这里写图片描述

参考stackoverflow:http://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php

Alvin_扣扣953821815
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL数据库安全
m0_65159351的博客
12-27 1972
无论是对于企业还是个人,数据库中所保存数据的安全性是尤其重要的。尤其是对于公司企业等来讲,其商业数据往往带有着巨大的价值。本文对MySQL数据库安全做了一些介绍。以上就是今天要讲的内容,本文仅仅简单介绍了MySQL数据库安全的一些基础知识。
mysql注入方法_防止SQL注入的六种方法
weixin_36428079的博客
02-02 5152
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
mysql进阶:企业数据库安全护方案
55555的博客
09-10 2115
数据库安全是系统安全的重中之重,做好数据库安全护及规范,是系统建设的基础。今天我们来看看企业生产如何落地数据库安全护机制。
MySQL数据库安全:如何范SQL注入攻击
禅与计算机程序设计艺术
01-21 1259
1.背景介绍 1. 背景介绍 SQL注入攻击是一种常见的网络攻击方法,它利用了数据库管理系统的漏洞,从而滥用其功能。攻击者通过在SQL语句中插入恶意代码,从而控制数据库的操作,窃取或破坏数据。这种攻击对于企业和个人数据的安全构成了重大威胁。 MySQL是一种广泛使用的关系型数据库管理系统,它在网络应用中扮演着重要的角色。因此,了解如何MySQL数据库的SQL注入攻击具有重要意义。 本文...
MySQL 数据库安全管理
qq_32682305的博客
05-28 3378
MySQL 数据库安全管理 一、前言 数据安全是每一个企业都非常关注的问题,甚至有的企业,数据就是一切,失去数据则可能造成无法估计,无法挽回的损失,甚至产品永久下线的风险。 本文将介绍MySQL安全管理策略相关内容,着重介绍MYSQL服务层安全处理措施。 二、编写目的 提高数据库使用者,数据库安全相关意识。 增强数据库抵抗能力,降低数据库故障几率,维护数据库数...
基于Linux对MySQL数据库的安全加固指南(超实用--实战版)
liu_chen_yang的博客
09-15 3828
MySQL数据库是业务系统中常用的关系型数据库,但是由于其广泛使用,也成为安全攻击的目标。因此,数据库安全加固至关重要。下面将为大家提供一份基于Linux的MySQL数据库安全加固指南,帮助大家保护自己及公司的数据库免受潜在的安全威胁。常见的MySQL数据库攻击方式包括SQL注入,暴力破解和拒绝服务攻击。1.修改默认端口:MySQL默认端口为3306,容易被攻击者扫描到,建议修改为其他端口。2.安装火墙:通过配置火墙,可以控制数据库的访问权限,并防止恶意请求。
mysql安全性实验心得_mysql安全小结
weixin_42489714的博客
01-21 1025
sql的注入是一个很困扰人的问题,一些恶意攻击者可以利用sql注入来获取甚至是修改数据库中的信息,尤其是一些比较敏感的密码一类的数据。sql注入主要利用mysql 的注释将后续应正常执行的语句注释掉以达到恶意攻击者的目的还可以通过使用'的方式来打断sql语句的执行还可以通过通过输入or 1=1这样的语句来改变原有的sql判断语句来进行攻击当然,有攻击必然会有御PHP中可以使用PDO、预编译来防止...
Mysql优化安全】防止sql注入
weixin_44823875的博客
05-20 6152
Mysql安全】防止sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题数据库查询参数的类型转换处理(4)范sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
Python使用MySQL数据库方法及SQL注入
m0_47670683的博客
02-23 2218
安装pymysql模块 python操作mysql需要安装pymysql模块: pip install pymysql 连接数据库 建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。 题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。 import pymysql with pymysql.connect(host='mysql的ip', user='你的用户名',
MySQL数据库数据库安全与权限管理
最新发布
07-11
7. **安全配置**:合理配置数据库参数,如限制远程访问、关闭不必要的服务等,可以有效减少攻击面,提高数据库安全性。 - **示例**:限制MySQL远程访问 ```sql GRANT ALL PRIVILEGES ON database_name.* TO '...
MySQL数据库安全设置与注意事项小结
09-10
MySQL数据库的安全设置是确保系统和数据安全的重要环节。在安装MySQL之后,必须立即加强安全配置,防止未经授权的访问。以下是一些关键的步骤和注意事项: 1. **设置root用户密码**:MySQL安装后,默认的root用户...
Web系统下提高MySQL数据库安全性的研究.pdf
10-10
综上所述,提高MySQL数据库安全性需要从多个层面入手,包括正确配置和管理权限、强化用户访问控制和范SQL注入等威胁。同时,定期更新数据库系统和应用程序,保持良好的安全实践,如定期审计和备份,也是确保数据...
mysql数据库 注入
11-21
### MySQL数据库注入知识点 #### 1. SQL注入攻击简介 - **定义**: SQL注入攻击是一种常见的网络安全威胁,攻击者通过向Web应用提交特制的SQL代码,利用应用程序中的漏洞来执行恶意SQL命令,以此获取敏感信息或...
PHP使用PDO实现mysql注入功能详解
10-15
在PHP开发中,数据库安全是至关重要的,而SQL注入攻击是一种常见的网络安全威胁。PDO(PHP Data Objects)扩展提供了一种安全的方式来操作数据库,能够有效防止SQL注入。下面将详细讲解如何使用PDO实现MySQL注入...
E109-数据库安全-使用sqlmap注入mysql数据库.pdf
12-02
本文将深入探讨如何利用sqlmap工具对MySQL数据库进行SQL注入攻击,以此来演示并了解数据库的安全漏洞和护措施。 SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web应用的输入字段中插入恶意SQL代码,以获取...
mysql安全设置加固指导教程
05-14
MySQL 数据库安全设置是数据库管理员的首要任务之一。为了确保数据库的安全,需要从多个方面进行加固。以下是 MySQL 安全设置加固指导教程的详细内容: 一、账户安全 账户安全是 MySQL 安全设置的第一步。缺省安装...
PHP安全性漫谈之Mysql数据库安全性设置.docx
12-25
《PHP安全性漫谈之MySQL数据库安全性设置》 在构建基于PHP的Web应用程序时,数据库安全性至关重要。然而,PHP本身并不具备直接保护数据库安全的能力,因此需要开发者采取一系列措施来确保数据库不受攻击。本文将...
基于教学中的MySQL数据库访问和安全问题探讨.pdf
10-10
MySQL数据库在教学中的应用广泛,尤其在中小型网站和系统开发中扮演着重要角色。在教学过程中,教师常常以B/S(Browser/Server)架构的教务管理系统为例,来讲解数据库的访问方式和安全性。B/S架构使得用户通过...
MySQL数据库安全配置指南:系统内外护要点详解
作为MySQL的系统管理员,我们有责任维护MySQL数据库系统的数据安全性和完整性。数据库的安全配置必须从系统内部安全和外部网络安全两个方面入手,另外还需要注意编程时的一些问题以及一些小技巧。 在系统内部安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值