如何绝对防止注入

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量3.7k 收藏
点赞数
分类专栏: 如何做到100%安全 文章标签: php sql web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50453514/article/details/124191968
版权

文章目录

前言

前不久的时候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同时也在思考一个问题,平时审计或者黑盒的时候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百防止注入呢,也许从这个角度学习会让我进步更快。

一、浅谈sql注入

mysql_real_escape_string

在测试是否存在sql注入的时候,主要是看是否有可控的变量,那么在程序员的角度上,可能会用mysql_real_escape_string,是一个字符串转义函数。它将做的只是转义危险字符,以便它们可以安全地用于单个查询字符串。但是,如果您不事先清理输入,那么您将容易受到某些攻击向量的攻击。
想象一下下面的sql:

$result = "SELECT fields FROM table WHERE id = ".mysql_real_escape_string($_POST['id']);

您应该能够看到这很容易被利用。
想象一下id参数包含常见的攻击向量:

1 OR 1=1

那里没有要编码的危险字符,因此它将直接通过转义过滤器。
记录一个sql语句

1 or is_admin=1 order by id limit 1

产生

SELECT fields FROM table WHERE id=1 or is_admin=1 order by id limit 1

这允许攻击者在这个完全虚构的示例中返回第一个管理员的详细信息。

所以在使用mysql_real_escape_string这个函数拼接到sql语句时一定要加引号,把参数限制在里面

自己定义的转义函数

有些人会把所有的输入都经过验证,如定义一个函数,来检验用户输入的是否都是数字

function Numbers($input) {
  $input = preg_replace("/[^0-9]/","", $input);
  if($input == '') $input = 0;
  return $input;
}

所以不是使用

$result = "SELECT fields FROM table WHERE id = ".mysqlrealescapestring("1 OR 1=1");

他会用

$result = "SELECT fields FROM table WHERE id = ".Numbers("1 OR 1=1");

但是从功能搜索框的功能角度上来考虑,这显然有很多限制,如在csdn上面就不能使用。

PDO与MySQLi

无论您使用哪种转义方法,避免 SQL 注入攻击的正确方法是将数据与 SQL 分离,以便数据保持数据,永远不会被 SQL 解析器解释为命令。可以使用格式正确的数据部分创建 SQL 语句,但如果您不完全了解详细信息,则应始终使用准备好的语句和参数化查询。这些是与任何参数分开发送到数据库服务器并由其解析的 SQL 语句。这样攻击者就不可能注入恶意 SQL。
你基本上有两种选择来实现这一点:
1.使用PDO(对于任何支持的数据库驱动程序):

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute([ 'name' => $name ]);

foreach ($stmt as $row) {
    // Do something with $row
}

2.使用MySQLi(用于 MySQL):

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

但是这个绝对依旧是有前提的,虽然利用起来相对苛刻,还是提一下吧

  • 使用 MySQL 的现代版本(5.1 后期,所有 5.5、5.6 等)和PDO 的 DSN 字符集参数(在 PHP ≥ 5.3.6 中)
  • 不要使用易受攻击的字符集进行连接编码(你只使用utf8///等latin1)ascii
  • 启用NO_BACKSLASH_ESCAPESSQL 模式

这三种情况任意一种你是100%安全的。
否则,即使您使用 PDO 准备语句,您也很可能受到攻击……

不得不提一下的是,mysql_real_escape_string只是DBMS里面MySQL的,PostgreSQL 里面会有pg_escape_string(),一般作者都会用DBMS自带的转义函数,如果不用自带的可以用比如说addslashes()。
addslashes绕过的方法在特定情况下其实也挺多,总结一下大概就是因为编码的原因导致绕过了要转义的字符,或者直接没有引号限制,列举一下:

  • 虽然使用了addslashes转义,但是缺没有加引号,直接无视过滤。
  • 使用了数据库字符gbk编码
  • 因为编码解码或者编码函数原因导致宽字节注入

所以,如果真的想要安全一些,最稳妥的方法就是请您避免 SQL 注入攻击的正确方法是将数据与 SQL 分离,以便数据保持数据,永远不会被SQL 解析器解释为命令

二、浅谈跨站脚本攻击

Clang Clang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL通用防注入程序 3.2
04-30
SQL通用防注入程序 3.2 更新内容:2009-12-9 1.更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故,如果有的网站统计了访问来源的话,就有可能导致搜索引擎过来的访客报sql注入,无法...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6326
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
四种防止SQL注入的解决方案
最新发布
weixin_43702295的博客
01-11 2550
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
六个建议防止SQL注入式攻击
cuanji3287的博客
04-20 1625
  一、 SQL注入攻击的简单示例。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
防止SQL注入的四种方案
dehuisun的专栏
09-05 8507
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
43. 注入篇——防注入的安全策略
Fly_鹏程万里
03-10 769
前言前面介绍的很多中注入的方法,那么很多人在想既然有这么多的注入方法,那么是不是整个系统内的网站就没有什么可以防范的方法了呢?当然不是,我们在本小节将会为大家介绍一些常见的防止注入的方法。想要更好的防止SQL注入攻击,就必须清楚一个概念:数据库只负责执行SQL语句,根据SQL语句来返回相关的数据。数据库并没有什么好的办法直接过滤SQL注入,哪怕是存储过程也不例外。了解这一点之后,我们应该要明白要防...
整理php防注入和XSS攻击通用过滤
12-19
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则...
Global.asax取绝对路径的方法
01-02
您可能感兴趣的文章:asp.net 在global中拦截404错误的实现方法Global.cs中自动获取未处理的异常在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)Global.asax取物理路径/取绝对路径具体方法Global...
ASP的防SQL注入程序
04-20
ASP的防SQL注入程序 使用及其简单,功能绝对不少
Global.asax取物理路径/取绝对路径具体方法
01-02
虚拟路径 代码如下:Server.MapPath(“~/”) 取得的就是虚拟路径 ... 您可能感兴趣的文章:asp.net 在global中拦截404错误的实现方法Global.cs中自动获取未处理的异常在Global.asax文件里实现通用防SQL注入漏洞程序
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
数据库注入的防范
zhangshanfeng_的博客
06-17 1182
数据库注入的防范 对于一个项目来说,安全永远是重中之重。没有安全,信息将会泄露,应用的稳定性也堪忧。一个不安全的项目,对一个企业、组织的影响是严重而深远的。轻则麻烦缠身,重则伤筋动骨,甚至濒临倒闭。因此安全很重要。 而数据库注入又是近年来流行的攻击方式,凡是大型应用,很少有不使用数据库的,数据库注入荣登多年OWASP10大安全漏洞榜。因此,做好数据库注入防范十分重要。 下面是有效防范数据库注入的方...
注入程序
weixin_33949359的博客
11-10 110
现在很多网站都采用了通用防注入程序,那么对于这种网站,我门是否就束手无策了呢?答案是否定的,因为我们可以采用cookie 注入的方法,而很多通用防注入程序对这种注入方式都没有防备。 在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合...
Windows cmd(dos)小命令
127.0.0.1的博客
04-19 562
一、使用windows cmd(dos)实现电脑自动关机/重启 shutdown -s -t 0 /*该命令行的意思是0秒后关机。 这里的0和-s可以根据自己的情况改动。 -s可以改为-r意为重启。 0可以改为其他数字,意为多少秒后重启或关机。*/ shutdown -a /*这个条命令是取消上面的命令的。*/ 二、使用windows cmd(dos)进行网络质量简单检测 ping www.b...
输入法注入及防护分析
研究源码的最底层,只持有正确的仓位
01-15 3425
 一 .输入法原理: 输入法的ime文件实质是个dll文件,导出windows的imm输入法管理器调用的一些回调函数。 初始化: DllMain里注册窗口类 1. ImeInquire里告诉imm输入法的me消息窗口的类名 2. imm根据这个类名创建ime消息窗口 3. 消息窗口的回调函数被调用, 消息是wm_create 至此, ...
避免输入法注入
maomao171314的专栏
05-02 432
避免输入法注入
mysql 防注入的方法_Mysql常用的防注入方法 | 极安全-JiSec
weixin_35947010的博客
01-18 618
1.简单sql防注入简述:所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。magic_quotes_gpc的一点认识以及addslashesaddcslashes区别:1、条件:magi...
防止SQL注入攻击的10种有效方法
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
一段困扰许久的防注入代码
热门推荐
12-18 4万+
有段时间一直热衷于研究各种waf绕过,一般来说,云WAF可以通过找到网站真实IP来绕过,硬件waf也常因为HTTP协议解析差异导致绕过,但是,代码层的防护往往只能从代码逻辑里寻找绕过思路...
android防dex注入具体实现代码
07-23
要在Android应用中实现防止DEX注入,可以采取以下措施: 1. 检测应用签名:在应用启动时,可以检查应用的签名是否与预期的签名一致。如果签名不匹配,可能意味着应用已被篡改。 ```java public static boolean isSignatureValid(Context context) { try { PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES); Signature[] signatures = packageInfo.signatures; // 验证签名与预期签名是否一致 // ... } catch (PackageManager.NameNotFoundException e) { e.printStackTrace(); } return false; } ``` 2. 检测应用运行环境:可以检查应用是否在预期的运行环境中执行。例如,可以检测当前应用是否在模拟器或Root设备上运行。 ```java public static boolean isEmulator() { return Build.FINGERPRINT.startsWith("generic") || Build.FINGERPRINT.startsWith("unknown") || Build.MODEL.contains("google_sdk") || Build.MODEL.contains("Emulator") || Build.MODEL.contains("Android SDK built for x86") || Build.MANUFACTURER.contains("Genymotion") || (Build.BRAND.startsWith("generic") && Build.DEVICE.startsWith("generic")) || "google_sdk".equals(Build.PRODUCT); } public static boolean isRooted() { String[] paths = {"/system/bin/", "/system/xbin/", "/sbin/", "/system/sd/xbin/", "/system/bin/failsafe/", "/data/local/xbin/", "/data/local/bin/", "/data/local/"}; for (String path : paths) { if (new File(path + "su").exists()) { return true; } } return false; } ``` 3. 内存完整性检测:可以定期检查应用的内存完整性,以防止DEX文件被恶意注入。可以使用一些第三方库或自行实现内存完整性检测的算法。 4. 加密DEX文件:可以使用加密算法对DEX文件进行加密,然后在运行时解密并加载。这样可以增加DEX文件的安全性,防止被恶意注入。 5. 应用签名校验:可以在应用启动时,对APK文件进行签名校验,确保APK文件没有被篡改。 这些措施并不是绝对的,但可以提高应用的安全性,防止DEX注入攻击。需要根据具体场景和需求选择合适的措施来保护应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值