SQL注入攻击及其防护措施(含义+防护实例)

已于 2024-12-23 10:43:44 修改
阅读量704 收藏 3
点赞数 10
文章标签: sql 数据库
于 2024-12-20 13:51:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65776770/article/details/144609219
版权

        SQL注入攻击是一种常见且危险的网络攻击方式,攻击者通过向应用程序的输入字段中插入恶意SQL代码,以操控应用程序背后的数据库。这种攻击经常利用不当的数据验证或不安全的动态查询构建来绕过认证、检索敏感数据、编辑或删除数据库中的数据。那么,我们需要从多个方面了解其原理、防护措施以及具体实现。

SQL注入攻击说明

攻击机制
  1. 输入操控:用户输入的数据未经适当校验直接嵌入SQL查询中。
  2. 拼接漏洞:使用字符串拼接生成SQL语句,包括直接构造未经过滤的WHERE条件。
  3. 典型案例
    • 登录绕过:SELECT * FROM users WHERE username = '' OR '1'='1' AND password = ''; 这里  OR '1'='1' 可以让条件始终为真,从而获取所有用户记录。
攻击类型
  • 基于联合(Union-based)注入:借助 UNION SELECT 合并额外查询结果返回。
  • 基于错误(Error-based)注入:推断错误信息以收集表结构与字段信息。
  • 盲注 (Blind Injection)
    • 基于布尔值:根据页面响应变化推测结果。
    • 基于时间(Time-based Blind):通过延时函数执行确认查询是否成功。

案例背景

        假设我们有一个用户登录表单,用户在前端输入用户名和密码后发送到服务器进行验证。传统且不安全的查询代码可能如下:

query = "SELECT * FROM users WHERE username = '" + userInputUsername + "' AND password = '" + userInputPassword + "'";

这个示例易受SQL注入攻击。如果用户输入以下内容:

  • 用户名:' OR '1'='1
  • 密码:--

生成的SQL语句变为:

SELECT * FROM users WHERE username = '' OR '1'='1' -- AND password = '';

结果是无论什么密码都能成功登录,因为 '1'='1' 恒为真。

防护措施详解

1. 参数化查询

使用参数化查询或预处理语句代替动态拼接字符串,是最有效的防御方法之一。

Java JDBC中的实现

String query = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement pstmt = connection.prepareStatement(query);
pstmt.setString(1, userInputUsername);
pstmt.setString(2, userInputPassword);
ResultSet rs = pstmt.executeQuery();

这样,用户输入被当做参数而不是直接嵌入到SQL中,无论用户输入什么,都不会改变查询结构。

2. 使用存储过程

将业务逻辑转移到数据库层,使得应用程序只需调用数据库提供的接口,不直接构建SQL语句。

存储过程示例(MySQL)

CREATE PROCEDURE ValidateUser (IN inputUsername VARCHAR(255), IN inputPassword VARCHAR(255))
BEGIN
    SELECT * FROM users WHERE username=inputUsername AND password=inputPassword;
END;

调用方式(假设使用Java):

CallableStatement cstmt = connection.prepareCall("{call ValidateUser(?, ?)}");
cstmt.setString(1, userInputUsername);
cstmt.setString(2, userInputPassword);
ResultSet rs = cstmt.executeQuery();
3. 输入验证与清理

实施对所有输入数据的严格验证,确保仅允许合法字符集和格式,通过白名单过滤不希望出现的数据。

示例策略

  • 去除特殊字符如单引号、双引号。
  • 限制字段长度以减少恶意载体植入机会。
if (!userInputUsername.matches("[a-zA-Z0-9_]+")) {
    throw new IllegalArgumentException("Invalid characters in username.");
}
4. 最小权限原则配置数据库账户

确保应用程序用最少的权限访问数据库,限制实例仅具有业务需要能力。

  • 实现:创建专用用户账户,仅限执行读操作或特定表更新。
GRANT SELECT, INSERT ON mydb.users TO 'appuser'@'localhost';
5. 错误信息控制

避免在客户端暴露过多系统内部信息,应记录详细错误日志于服务器,同时给出通用错误消息提示用户。

示例策略: 假设伪代码处理流程如下:

try {
    // ... execute SQL statement ...
} catch (SQLException ex) {
    logger.error("Database access error: ", ex); // 日志内部记下完整异常信息用于分析诊断。
    throw new ApplicationException("An unexpected error occurred. Please try again later."); // 客户显示模糊提示信息。
}

总结

        通过以上案例展示,我们了解到了应对SQL注入风险主要依赖于改进代码实践、强化数据库管理策略以及健壮的错误信息处理机制。这些步骤可联合提升系统整体防御能力,从而有效保障数据安全。

MyBatis中SQL注入攻击防护——掌握技巧保护应用安全
AI天才研究院
07-28 1364
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1457
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
SQL注入攻击防御
06-22
SQL注入攻击是一种已经长期存在,但近年来日益增长的安全威胁,克拉克所著的《SQL注入攻击防御(第2版)》致力于深入探讨SQL注入问题。《SQL注入攻击防御(第2版)》前一版荣获2009Bejtlich最佳图书奖,第2版对内容做了全面更新,融入了一些最新的研究成果,包括如何在移动设备上利用SQL注入漏洞,以及客户端SQL注入等。《SQL注入攻击防御(第2版)》由一批SQL注入专家编写,他们对Oracle、SQLServer、MySQL和PostgreSQL数据库平台的SQL注入问题具有独到的见解。
SQL注入攻击实例防护方法分析(非常详细)零基础入门到精通,收藏这篇就够了
最新发布
Javachichi的博客
11-14 946
通过分析ResumeLooters所发起的这次SQL注入攻击活动,再次清楚地提醒我们,SQL注入攻击的过程很复杂,需要采用体系化的纵深防护策略进行应对。事件调查发现,本次攻击活动影响了许多国家或地区的网站,其中印度、泰国、越南等国家受到的攻击最为严重,而我国大陆和台湾地区的多个网站也收到了本次攻击的影响。2023年底,一个名为ResumeLooters的黑客团伙利用SQL注入攻击战术,非法闯入了多个国家的近百个网站系统,主要受害者包括流行的互联网招聘平台和电子商务网站。
sql注入攻击防护
weixin_42374938的博客
08-07 466
非法用户提交特殊的数据,使得服务器动态脚本构造了对系统有害的sql语句,进而实现了对web系统的攻击,例如数据泄露、非法提权等,这种过程就叫做sql注入
SQL注入漏洞的攻击防御
weixin_46273733的博客
08-13 1088
一、实验名称 SQL注入漏洞的攻击防御 二、实验环境(详细说明运行的系统、平台及代码等) 1、攻击机系统环境:Windows 7/8/10 2、浏览器:Firefox 53.0.2(64位) 3、浏览器插件HackBar 1.6.3.1 三、实验步骤及结果 1、过滤了特殊符号的字符型注入 实验网址: http://222.18.158.243:4603/ 注入点:http://222.18.158.243:4603/?id=1 Web应用考虑了对用户输入的id进行过...
SQL注入攻击防护措施
# 第一章:SQL注入攻击简介 ## 1.1 什么是SQL注入攻击 SQL注入攻击是一种针对数据库系统的安全漏洞攻击方式。攻击者通过在应用程序的输入字段中插入恶意的SQL语句,从而欺骗数据库执行非预期的操作。 ## 1.2 SQL...
SQL注入攻击注入的技术
11-04
内容概要:本文详细介绍了SQL注入攻击的分类及其应用实例,包括数字型和字符型注入的区别,不同类型的注入手法如联合查询注入、错型注入、基于布尔和时间的盲注等。文章提供了丰富的实战案例和具体的SQL语句示例,...
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
sql注入漏洞和实验
2303_81447649的博客
02-29 1600
发现不管输入什么都不管用了这个时候布尔盲注就不适合我们了,布尔盲注对于页面的正确和错误有不同的回显,如果页面一直没有变化我们就可以用时间盲注其实时间盲注和布尔盲注没有多大的差别,时间盲注多了if和sleep()函数。在将数据存入到了数据库中之后,开发者就认为数据是可信的,在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,就会造成二次注入SQL注入攻击的本质,服务器没有过滤用户输入的恶意数据,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全。
SQL注入攻击防御(简单篇)
zjm750617105的专栏
06-29 3188
原理:SQL注入攻击值得是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一下组合, 通过执行SQL语句进执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统。 SQL注入的产生原因:  不当的类型处理,不安全的数据库配置, 不合理的查询集处理, 不当的错误处理, 转义字符处理不合适, 多个提交处理不当 SQL
SQL注入天书
电脑加油站
05-31 1129
 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,
数据库sql注入攻击的方式和防御
阿星的博客
06-22 5194
介绍sql注入的多种方式以及防御策略
网络安全---SQL注入攻击
zdsxc_的博客
04-05 1617
容器通常是一次性的,因此一旦被销毁,容器内的所有数据都会丢失。对于此次实验,我们确实希望将数据保留在 MySQL 数据库中,确保我们在关闭容器时,我们不会丢失工作。为此,我们将主机上的mysql_data文件夹(在 MySQL 容器运行后,在Labsetup文件夹内创建)装载(mounted)到MySQL容器内的 /var/lib/mysql 文件夹中。mysql_data文件夹是 MySQL 存储其数据库的地方。因此,即使容器被销毁,数据库中的数据仍保留。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

檐角小猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值