如何绝对防止注入

最新推荐文章于 2024-07-14 11:31:13 发布
最新推荐文章于 2024-07-14 11:31:13 发布
阅读量3.7k 收藏
点赞数
分类专栏: 如何做到100%安全 文章标签: php sql web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50453514/article/details/124191968
版权

文章目录

前言

前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百防止注入呢,也许从这个角度学习会让我进步更快。

一、浅谈sql注入

mysql_real_escape_string

在测试是否存在sql注入的时候,主要是看是否有可控的变量,那么在程序员的角度上,可能会用mysql_real_escape_string,是一个字符串转义函数。它将做的只是转义危险字符,以便它们可以安全地用于单个查询字符串。但是,如果您不事先清理输入,那么您将容易受到某些攻击向量的攻击。
想象一下下面的sql:

$result = "SELECT fields FROM table WHERE id = ".mysql_real_escape_string($_POST['id']);

您应该能够看到这很容易被利用。
想象一下id参数包含常见的攻击向量:

1 OR 1=1

那里没有要编码的危险字符,因此它将直接通过转义过滤器。
记录一个sql语句

1 or is_admin=1 order by id limit 1

产生

SELECT fields FROM table WHERE id=1 or is_admin=1 order by id limit 1

这允许攻击者在这个完全虚构的示例中返回第一个管理员的详细信息。

所以在使用mysql_real_escape_string这个函数拼接到sql语句时一定要加引号,把参数限制在里面

自己定义的转义函数

有些人会把所有的输入都经过验证,如定义一个函数,来检验用户输入的是否都是数字

function Numbers($input) {
  $input = preg_replace("/[^0-9]/","", $input);
  if($input == '') $input = 0;
  return $input;
}

所以不是使用

$result = "SELECT fields FROM table WHERE id = ".mysqlrealescapestring("1 OR 1=1");

他会用

$result = "SELECT fields FROM table WHERE id = ".Numbers("1 OR 1=1");

但是从功能搜索框的功能角度上来考虑,这显然有很多限制,如在csdn上面就不能使用。

PDO与MySQLi

无论您使用哪种转义方法,避免 SQL 注入攻击的正确方法是将数据与 SQL 分离,以便数据保持数据,永远不会被 SQL 解析器解释为命令。可以使用格式正确的数据部分创建 SQL 语句,但如果您不完全了解详细信息,则应始终使用准备好的语句和参数化查询。这些是与任何参数分开发送到数据库服务器并由其解析的 SQL 语句。这样攻击者就不可能注入恶意 SQL。
你基本上有两种选择来实现这一点:
1.使用PDO(对于任何支持的数据库驱动程序):

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // Do something with $row
}

2.使用MySQLi(用于 MySQL):

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

但是这个绝对依旧是有前提的,虽然利用起来相对苛刻,还是提一下吧

  • 使用 MySQL 的现代版本(5.1 后期,所有 5.5、5.6 等)和PDO 的 DSN 字符集参数(在 PHP ≥ 5.3.6 中)
  • 不要使用易受攻击的字符集进行连接编码(你只使用utf8///等latin1)ascii
  • 启用NO_BACKSLASH_ESCAPESSQL 模式

这三种情况任意一种你是100%安全的。
否则,即使您使用 PDO 准备语句,您也很可能受到攻击……

不得不提一下的是,mysql_real_escape_string只是DBMS里面MySQL的,PostgreSQL 里面会有pg_escape_string(),一般作者都会用DBMS自带的转义函数,如果不用自带的可以用比如说addslashes()。
addslashes绕过的方法在特定情况下其实也挺多,总结一下大概就是因为编码的原因导致绕过了要转义的字符,或者直接没有引号限制,列举一下:

  • 虽然使用了addslashes转义,但是缺没有加引号,直接无视过滤。
  • 使用了数据库字符gbk编码
  • 因为编码解码或者编码函数原因导致宽字节注入

所以,如果真的想要安全一些,最稳妥的方法就是请您避免 SQL 注入攻击的正确方法是将数据与 SQL 分离,以便数据保持数据,永远不会被SQL 解析器解释为命令

二、浅谈跨站脚本攻击

Clang Clang
关注
专栏目录
防ASP注入终极防范
10-28
在现代网络应用开发中,SQL注入是一个常见的安全威胁。...只要我们理解了SQL注入的原理,并耐心仔细地实施上述措施,就能够大幅度地提升我们的Web应用程序的安全性,防止数据泄露和其他由SQL注入导致的严重后果。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6653
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 5400
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
如何防止第三方DLL注入自己的进程?
最新发布
shada的专栏
07-14 315
设置 (0x1) 以防止进程加载未由 Microsoft、Windows 应用商店和 Windows 硬件质量实验室 (WHQL) 签名的图像;测试结论是没有起到作用,这是因为SetProcessMitigationPolicy是在程序启动后调用的,调用前就已经被注入了。设置 (0x1) 以防止进程加载未由 Windows 应用商店签名的图像;设置 (0x1) 以防止进程加载未由 Microsoft 签名的图像;这个结构包含用于加载映像的进程缓解策略设置,具体取决于映像的签名。
六个建议防止SQL注入式攻击
cuanji3287的博客
04-20 1714
  一、 SQL注入攻击的简单示例。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
防止SQL注入的四种方案
热门推荐
dehuisun的专栏
09-05 1万+
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
【漏洞挖掘】——28、XSS Cheat-sheet
Fly_鹏程万里
03-10 819
XSS(跨站脚本攻击)是一种常见的网络安全威胁,攻击者借助漏洞将恶意脚本注入到网页中以在用户浏览器上执行恶意操作,本文将对我们一些常用的XSS有效载荷进行介绍。
SQL通用防注入程序 3.2
04-30
SQL通用防注入程序 3.2 更新内容:2009-12-9 1.更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故,如果有的网站统计了访问来源的话,就有可能导致搜索引擎过来的访客报sql注入,无法...
万能Asp防注入代码 拒绝攻击
01-20
本文中提到的"万能Asp防注入代码"就是一个简单的防护手段。 代码的核心在于检查`Request`对象中的`Form`和`QueryString`属性,这两个属性分别用于获取HTTP POST和GET请求的数据。首先,定义了一个字符串`Fy_In`,它...
jieqi cms 1.5防注入
05-31
**jieqi CMS 1.5 防注入详解** jieqi CMS 1.5是一款流行的开源内容管理系统,它为网站建设和管理提供了强大的平台。在网络安全领域,"注入"是一种常见的攻击方式,例如SQL注入和XSS注入,这些攻击能够破坏数据库、...
整理php注入和XSS攻击通用过滤
12-19
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
数据库注入的防范
zhangshanfeng_的博客
06-17 1226
数据库注入的防范 对于一个项目来说,安全永远是重中之重。没有安全,信息将会泄露,应用的稳定性也堪忧。一个不安全的项目,对一个企业、组织的影响是严重而深远的。轻则麻烦缠身,重则伤筋动骨,甚至濒临倒闭。因此安全很重要。 而数据库注入又是近年来流行的攻击方式,凡是大型应用,很少有不使用数据库的,数据库注入荣登多年OWASP10大安全漏洞榜。因此,做好数据库注入防范十分重要。 下面是有效防范数据库注入的方...
注入应用绕过活体检测_【渗透实战】如何利用API unhooking执行进程注入,绕过Bitdefender安全检测...
weixin_26833503的博客
01-28 1387
点击上方蓝字关注我们1概述绕过AV/EDR等端点检测是红队行动过程中的一项重要工作,在开始进行绕过时,我们需要先了解这些防护软件的工作方式。网络上公布了大量安全产品的工作原理以及绕过方法。本文主要分享如何利用Windows API unhooking 技术绕过Bitdefender安全防护软件,以下为演示视频:2什么是API Hooking?API hooking是一种用于拦截和检查w...
DLL_THREAD_ATTACH防止远程线程注入
125096
05-05 5437
/* 原理: 当创建线程时,系统会向当前进程所有dll发送DLL_THREAD_ATTACH通知 此时新的线程已经被创建但尚未执行,更精切的说已经创建了线程内核对象、线程堆栈等资源 正处于初始化阶段。只有在每个dll正常处理了DLL_THREAD_ATTACH线程才开始执行 对于远程线程本质上和本地线程完全一样,区别在于由其他进程创建 如果在接受DLL_THREAD_ATTACH时通知结束线程,线
PHP 中的转义函数小结
mysteryflower的专栏
09-27 1149
代码审计的时候经常会遇到种类繁杂的转义函数,最可怕的是他们长的都很像,还是拿出来总结一下吧。 0X01 addslashes() –>(PHP 4, PHP 5, PHP 7) 用法: string addslashes ( string $str ) 返回值: 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(”)、反斜线(...
mysql json转义字符_转义字符:html、mysql、postgresql、json、php
weixin_31925685的博客
01-20 549
结论:2、使用phpaddslashes是错误的。因为它不对应mysqlpgsqlPHP官方强烈建议使用对应mysql的mysqli_real_escape_string()和对应PostgreSQLpg_escape_string()。http://php.net/manual/en/function.addslashes.php3、保存到数据库之前使用htmlspecialchars是...
注入程序
weixin_33949359的博客
11-10 123
现在很多网站都采用了通用防注入程序,那么对于这种网站,我门是否就束手无策了呢?答案是否定的,因为我们可以采用cookie 注入的方法,而很多通用防注入程序对这种注入方式都没有防备。 在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合...
Windows cmd(dos)小命令
127.0.0.1的博客
04-19 1073
一、使用windows cmd(dos)实现电脑自动关机/重启 shutdown -s -t 0 /*该命令行的意思是0秒后关机。 这里的0和-s可以根据自己的情况改动。 -s可以改为-r意为重启。 0可以改为其他数字,意为多少秒后重启或关机。*/ shutdown -a /*这个条命令是取消上面的命令的。*/ 二、使用windows cmd(dos)进行网络质量简单检测 ping www.b...
PHP 安全:如何防止PHP中的SQL注入
新华编程特战队
04-23 2379
SQL注入防护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动防范 SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,防止 SQL 注入至关重要。
怎么防止文件操作漏洞注入
04-03
4. 对文件名进行编码处理,比如使用urlencode()函数将文件名进行编码,防止注入攻击。 5. 在文件操作前检查文件权限,确保只有必要的用户有权操作该文件,防止非法用户篡改文件内容。 6. 对于上传文件,要限制上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值