防御sql注入之参数化查询

最新推荐文章于 2024-03-27 09:30:00 发布
最新推荐文章于 2024-03-27 09:30:00 发布
阅读量4.6k 收藏 3
点赞数 6
分类专栏: 漏洞学习笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55306747/article/details/121553970
版权

概念:在sql语句中需要输入值的地方以参数进行给值

特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入

现状:不过即使参数化查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数化查询

需要熟悉各数据库中的变量形式:

假设变量为a1

mysql中的变量形式是?加变量名

例:select * from users where id = ?a1

oracle中的变量形式是:加变量名

例:select * from users where id = :a1

mssql中的变量形式是@加变量名

例:select * from users where id = @a1

dvwa靶场sql注入的impossible级别就使用了参数化查询

<?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

(记笔记加深印象,写的不对请随便喷,嘿嘿)

苍树青哉
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
参数化查询语句防止SQL注入
李公子的博客
09-15 2176
1.什么是SQL注入,为什么要防止SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
面试官问你 SQL 注入攻击了吗?
zone_的博客
04-06 256
目录为什么要聊 SQL 注入攻击?什么是 SQL 注入攻击?如何进行 SQL 注入攻击?如何防范?常见面试题瞎比比为什么要聊 SQL 注入攻击?我这人有个想法,就是不管自己跳不跳槽,每年...
SQL数据库不用SQL语句能显示全表的内容_SQL注入是什么?如何防御SQL注入
weixin_40003767的博客
11-16 320
什么是SQL注入SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库(如M...
SQL注入参数化查询
十年磨一剑,沉淀……
07-09 6480
SQL注入的本质SQL注入的实质就是通过SQL拼接字符串追加命令,导致SQL的语义发生了变化。为什么发生了改变呢? 因为没有重用以前的执行计划,而是对注入后的SQL语句重新编译,然后重新执行了语法解析。 所以要保证SQL语义不变,(即想要表达SQL本身的语义,并不是注入后的语义)就必须保证执行计划确定不被改变。SQL注入的表现示例1.我们先熟悉一下表里的东西 2.要查询的原SQL语句。 3.注入
防御SQL注入的方法总结
09-10
防御SQL注入是保护网站和应用程序免受此类攻击的关键步骤。 1. SQL注入的基本原理: SQL注入攻击通常是由于应用程序未能正确验证和过滤用户输入的数据,直接将这些数据拼接到SQL查询语句中导致的。例如,一个简单的...
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
更推荐使用预编译的SQL语句(如PDO的预处理语句)或者参数化查询,这样可以确保用户输入的数据不会被解释为SQL命令的一部分。 预编译的SQL语句将SQL结构与参数分离,使得即使用户输入了恶意的SQL代码,也会被视为...
SQL 注入天书.pdf
08-06
此外,还将学习如何防御SQL注入,例如使用参数化查询、预编译语句和输入验证等方法。 总的来说,《SQL注入天书》及配套的sqli-labs提供了全面的SQL注入学习路径,从基础到高级,从理论到实践,有助于安全专业人士和...
SQL注入攻击与防御技术白皮书.pdf
10-16
因此,防御SQL注入攻击是非常重要的。 3.IPS设备对于SQL注入攻击的防御 IPS设备可以有效地防御SQL注入攻击。IPS设备可以检测和阻止恶意的SQL语句,防止攻击者获取敏感信息或篡改Web数据。 3.1 IPS设备SQL注入防御...
如何避免SQL注入攻击?
最新发布
CSBIGDOG的博客
03-27 706
SQL注入是一种常见的网络安全威胁,攻击者通过在用户输入中插入恶意的SQL代码,从而可以执行未经授权的数据库操作。使用ORM(对象关系映射)框架,如Hibernate、MyBatis等,可以帮助自动处理SQL查询和参数。存储过程是一组预定义的SQL语句集合,可以在数据库中进行重复性和复杂性的操作。不要直接将用户输入拼接到SQL语句中,而是使用参数化查询或其他安全的方案。使用参数化查询可以防止SQL注入攻击,并提高代码的可读性和可维护性。对应用程序中的所有输入数据进行验证和过滤,以确保它们是有效和合法的。
浅析SQL Server参数化查询
12-14
说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。   相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视   错误认识1.不需要防止sql注入的地方无需参数化   参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK   错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别   以前也一直都觉的加与不加参数长度
SQL参数化查询,Where语句中配置“?”
mark_jl的博客
03-28 1451
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。
c#防止sql注入,使用参数化,而不是字符串连接
图纸的博客
08-22 1305
SqlConnection conn = new SqlConnection("连接数据库的字符串"); SqlCommand comm = new SqlCommand("select * from user where user=@user and pass=@password", conn); SqlParameter parm1 = new SqlParameter("@...
C#与MSSQL存储过程/参数化查询
book_dw5189的博客
06-15 2155
C#与MSSQL存储过程/参数化查询
SQL参数化查询
一个搬砖工人
04-07 534
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。 MySQL中存储过程(MySQL从5.0以后版本支持存储过程)参数一律以“?”开头 在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令
参数化查询
liu_1983的专栏
03-23 754
<br /><br />SQL SERVER在执行查语句时会生成查询计划,并将查询计划缓存在数据库中,如果下次执行相同的 SQL 语句时,会利用缓存的执行计划,而不必重新编译生成执行计划。<br />使用参数化查询,可以提高查询计划的重用率,提高执行效率。这里以SQL SERVER 2005为例,分析一下 SQL SERVER查询参数化。<br />在SQL SERVER 2005中,可以使用以下 SQL SERVER语句查看缓存的执行计划:<br />SELECT usecounts, c
Power Query 系列 (18) - 参数化查询
王敏的专栏
09-21 1万+
参数化查询增加了查询的灵活性。Power Query 可以设置和管理参数,同一工作簿下所有查询都可以使用。
防止SQL注入攻击的注意事项
happycell188的博客
04-15 711
防止SQL注入攻击的注意事项 一. SQL Injection及其防范的基本知识可能大家都知道,SQL注入主要是利用字符型参数输入的检查漏洞。比如说,程序中有这样的查询: string sql = "SELECT * FROM SiteUsers WHERE UserName=" + userName + "";其中的userName参数是从用户界面上输入的。如果是正常的输入,
mysql参数化sql语句_教您使用参数化SQL语句
weixin_32023109的博客
01-20 3095
SQL语句的使用非常灵活,通过各种SQL语句,可以实现不同功能的操作,下面将为您介绍参数化SQL语句,供您参考,希望对您有所帮助。SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值