SQL防注入规范

最新推荐文章于 2024-09-01 18:06:09 发布
最新推荐文章于 2024-09-01 18:06:09 发布
阅读量55 收藏
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65543193/article/details/132966496
版权

什么是SQL注入攻击

参见 [百度百科解释](百度百科-验证)

SQL注入攻击可能会给我们的系统造成什么伤害?

  • 对我们的 MetaDB 造成伤害;通过对我们 MetaDB 查询等语句的 SQL 注入,窃取或攥改我们的 MetaDB。MetaDB 是我们的核心管控信息,想见伤害是可以是致命的。
  • 对我们的用户数据库造成伤害, 甚至通过数据库获取主机操作权限;由于我们的管控系统会通过 super/root 权限来管控用户数据库,黑客通过他购买的 DB 实例提交一些看似“合法”的操作,达到以我们的 super/root 权限来执行它的恶意非法指令,以窃取同主机其他客户的数据,甚至注入恶意程序。这个场景在过去安全组织的 “蓝军演练” 中确实发现过我们系统的漏洞(已修复)。

SQL防注入编码实践

  • 参数校验
    • 不要相信外部输入的参数, 提前在处理业务逻辑之前就需要校验参数的有效性. 要防止恶意用户通过表单、API参数等方式注入恶意代码,那么 “防注入” 的第一层防御就是对参数的有效性校验;比如我们的 CreateDB 接口,需要检查参数 DB 名要符合一定的命名规则,以防止恶意用户在 DB 名中注入恶意指令;
  • SQL 防注入编码实践 - 避免 SQL 直接拼接
    • SQL 拼接是指代码中把 SQL 指令和用户输入参数拼接后形成完整的 SQL 提交 DB 执行。这是我们非常容易引入 "SQL注入"" 风险的不良编码习惯;一旦在 "参数校验" 的第一层防护没有挡住,SQL拼接就直接给了恶意客户达成目的的机会。比如,用户提交 DB 创建请求后,我们如下方式拼接 SQL 语句:
sqlstr = "create database %s" % dbname
curs.execute(sqlstr)

     那么一旦黑客在 dbname 中注入恶意代码,比如 myname;xxxx.evilcode,则黑客就成功地利用我们系统执行 SQL 的 super 权限,成功地执行了它的恶意代码。

           各种语言或者框架都有解决上述需求,使用对应工具前, 应该认真阅读防止 SQL 注入部分使用文档, 避免SQL拼接的方式。

  • Python建议方案
    • 直接使用 MySQLdb/pymysql:
# 传入参数元组进行参数绑定, 而不是直接拼接字符串
sqlstr = "create database %s" 
curs.execute(sqlstr, (dbname,))
    • 一般 ORM(比如 SQLAlchemy) 默认就会使用入参转义功能来防止 SQL 注入, 在使用对用 ORM 的时候请注意查阅对应的使用说明文档
  • Java建议方案
    • 对于直接使用 JDBC 的场景
// 使用 PreparedStatment, 通过 SQL 字符串模板设置参数
PreparedStatment pstmt = conn.prepareStatement("SELECT * FROM user WHERE login=? AND pass=?");
pstmt.setString(1, name);
pstmt.setString(2, pass);
ResultSet rs = pstmt.executeQuery(sql);
    • Mybatis / Ibatis
      • 两种框架类似, 支持两种参数符号, 一种是#,另一种是$. 其中使用 # 会创建一个预编译语句, 使用 $ 会直接和字符串拼接. 所以一般情况下都需要使用 #, 下面以 Mybatis 为例:
<select id="selectPerson" parameterType="int" resultType="hashmap">
  SELECT * FROM PERSON WHERE ID = #{id}
</select>
      • 对于 order by 字段、表名等,是无法使用预编译语句的。这种场景极易产生SQL注入。推荐开发在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面
      • like 参数防注入
like concat('%',#{title}, '%')
      • in 之后参数防注入
id in
<foreach collection="ids" item="item" open="("separator="," close=")">
    #{item} 
</foreach>
    • hibernate 使用 positional parameter 或者 named paramete

相关资料

sql注入基础原理(超详细) - 简书

SQL Injection: Defense in Depth - Simple Talk

Thwarting SQL Injection: Defense in Depth | Qualys Security Blog

一念~天涯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | SQL注入】一文讲清预编译SQL注入原理
等风来
12-26 5144
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
sqlalchemysql注入
weixin_30314631的博客
07-18 823
银行对安全性要求高,其中包括基本的mysql注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT coun...
sqlalchemy - sqlalchemy中执行原生sql - 传参方式避免了sql注入
SAGGITARXM
01-15 4826
def get_data_all(user_id, name, start_time, end_time, page=1, limit=10): """ sqlalchemy orm 执行原生sql语句 :return: """ try: # 项目数据列表 conditions = dict() base_s...
SQL注入靶场通关
热门推荐
龙卷风摧毁停车场
04-08 1万+
SQL注入靶场通关 SQL注入简介 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL注入原理 SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,使web服务器执行恶意命
如何sql注入
weixin_49278803的博客
02-25 551
现象 实现一个根据指定条件检索数据库数据表功能,我们想到的是select语句,其中%s占位符接收参数,但是这样的一条语句直接被执行很容易造成sql注入。why?执行的语句没有对“条件”进行校验! 验证是否有可能被sql注入:在传递的参数的后面加上 解决 方案:以sql自有校验功能进行参数的检查 语法:以传参的形式执行,如下图: 那么下面关注即sql语句该怎么写?,参数类型是什么? 根据执行sql的方法的不同(sql有哪些执行方式:见https://blog.csdn.net/weixin_49278803/
python中如何sql注入
weixin_30270889的博客
06-10 482
python访问数据库的底层库很多,以pymysql为例, 它在执行sql前,会对sql中的特殊字符进行转义,如字符转义def escape_string(value, mapping=None): """escape_string escapes *value* but not surround it with quotes. Value s...
SQL注入
Z_nannan的博客
05-07 317
一、SQL注入范 关于SQL注入可见博文https://mp.csdn.net/editor/html/116492920 1、在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。 原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。 2、修改用户登录模块的
sql注入
wangdaxu332的专栏
03-26 3768
常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOS限于篇幅,本篇只讨论SQL注入攻击的技巧与范。SQL注入常见攻击技巧SQL注入攻击是Web安全史上的一个重要里程碑,它从1999年首次进入人们的视线,至今已经有十几年的历史了,虽然我们现在已经...
开发代码安全规范-SQL注入和XSS跨站攻击代码编写规范.doc
07-14
"开发代码安全规范-SQL注入和XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入和XSS跨站攻击是两个最为常见的安全漏洞类型。为了止这些漏洞...
SQL注入的方法总结
12-15
开发人员应遵循安全编码规范,如OWASP的Secure Coding Practices,这些指导原则有助于在开发过程中预SQL注入和其他类型的攻击。 总之,SQL注入需要多层面的策略,包括编程实践、数据库配置、输入验证和使用...
开发代码安全规范SQL注入和XSS跨站攻击代码编写规范样本.doc
08-04
开发代码安全规范SQL注入和XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了SQL注入和XSS跨站...
SQL注入攻击与御.rar
05-26
8. **安全编码规范**:开发人员应遵循最佳实践,如使用存储过程、避免动态SQL、及时关闭数据库连接等。 9. **教育和培训**:提高开发团队的安全意识,让他们了解SQL注入的危害和御方法。 10. **持续更新和补丁**...
如何使用SQLAlchemy库写出SQL注入的Raw SQL
slvher的专栏
08-03 1万+
Python阵营有很多操作数据库的开源库(安装pip后,可以借助”pip search mysql”查看可用的库列表),其中被使用最多的无疑是MySQLdb,这个库简单易上手。其偏底层的特性为开发者提供灵活性的同时,也对不少新手写出的DB操作代码提出了考验,因为它只支持raw sql,容易导致sql注入攻击。鉴于此,很多库提供了ORM接口能力,借助OO思想,数据库中的表被映射为Python的类,类的
SQLAlchemy中execute注入写法
a11131ghj的博客
08-25 3375
sql = "SELECT batch,start_time,end_time " \ "from repair_order_table " \ "WHERE batch = (" \ "SELECT batch FROM repair_order_table WHERE line=:line ORDER BY start_time DESC LIMIT 1") and line=:line;" batch_res = db.session.execute(sql,
九、安装artifactory并配置PostgreSQL
最新发布
shafatudou的博客
09-01 770
基于八,克隆出一个新的虚拟机,用来安装制品库并配置mysql数据库。仅参考,未使用(配置的centos自带的数据库,不会用)
SQL进阶技巧:如何查询最近一笔有效订单? | 近距离有效匹配问题
石榴姐yyds
08-29 184
本文所分析的案例在实际场景中经常被用到,对于支持lag()函数 ignore nulls语法的数据库,本问题就很简单,但对于Hive等数据库不支持该语法时,略会麻烦一些,针对本题我们采用一分为二的方式,对订单有效和无效分开求解,当为有效值时候,利用ag()函数正常求解,当为无效时候,由于会存在多个连续状态一致的,为了能够获取最近有效的状态,我们采用last_value()函数ignore nulls语法来实现,最终通过coalesce()函数将两种状态合并,得到最终的结果。
PostgreSQL遍历所有的表并为其创建基于某个字段的索引
致力于互联网、物联网领域知识内容分享
08-29 481
以下以"collect_time"字段为例,其他字段请自行全局替换。
Python知识点:如何使用SQLAlchemy进行ORM(对象关系映射)
码农超哥的博客
08-31 516
定义数据库表的ORM模型。每个模型类都需要继承自Base,并且通常以类的属性形式定义表的列。
SQL 注入新视角:堆查询、JSON 与头部 XFF 注入剖析及
2301_77160226的博客
08-27 2173
SQL 注入攻击的世界中,除了一些常见的注入方式外,还有堆查询注入、JSON 注入以及头部 XFF 注入等较为特殊的攻击手段。这些攻击方式利用不同的场景和漏洞,对数据库安全构成严重威胁。本文将详细介绍这三种 SQL 注入攻击方式的原理和特点。
深度剖析:SQL注入攻击检测与护策略全揭秘
第七章和第八章分别深入探讨高级话题,如绕过输入过滤器、二階SQL注入和混合攻击,以及在代码层面上的御措施,如参数化查询、输入验证和编码规范。 第九章关注平台层面的御,包括Web应用火墙、运行时保护和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值