sql注入防范(1)

已于 2023-03-07 08:08:47 修改
阅读量286 收藏 6
点赞数 6
分类专栏: SQL防范 文章标签: 数据库 php sql
于 2023-03-06 15:34:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74301705/article/details/129363760
版权
文章讲述了SQL注入的原理和危害,并提供了防范措施,主要集中在代码层防御,如使用PHP的Mysqli和PDO框架实现参数化查询以避免直接拼接用户输入,同时强调了输入验证的重要性,例如使用preg_match进行正则表达式匹配。
摘要由CSDN通过智能技术生成

      SQL注入的防范

目录

一 . 代码层防御

1.使用参数化语句

1.1使用PHP语句将基本SQL语句参数化处理

PHP中的输入验证

 

一 . 代码层防御

在web应用中,又存在着通过拼装用户操作参数的sql语言进行查询数据库,将结果返回用户。如果在这个过程中,处理不当,也就是防护不够到位,会出现SQL注入这样的漏洞

例如: select * from table where id = ${id}

我们把这个条件从1换成 1 or 1 = 1 即得到:

Select * from table where id = 1 or 1 = 1 ; 从原本的语  义变换成不严谨的SQL语言

再比如: select * from user where username = '${data.username}' and password = '${data.password}'

这时候,我们通过传值,把password变更为:1' or '1' = '1

select * from user where username = 'johnny' and password = '1' or '1' = '1'

最后的or把前面的条件给否定了,此时用户名和密码完全没用了。所以在我看来,学习SQL注入的目的不只是学习针对这种方法,而失去举一反三,学习一类方法,简单的来说SQL注入就是在人为可以构造参数的的地方加入一些非法敏感语句,绕过后端的处理,然后带入数据库中执行,然后返回敏感数据的过程。

1.使用参数化语句

我们知道,SQL注入最根本的原因之一就是把SQL查询创建成字符串然后发给数据库执行,这一行为是最容易受到SQL注入攻击的主要原因之一。

作为一种更加安全的当天字符串构造方法,大多数现代编程语言和数据库访问API可以使用占位符或者绑定变量来向SQL查询提供参数,这并非是直接对用户输入进行操作的。统称为参数化语句。

1.1使用PHP语句将基本SQL语句参数化处理

PHP同样包含很多用于访问数据库的框架,现最常见的框架:访问MySQL数据库的musqli包,PEAR::MDB2包,和新的PHP数据对象(PDO)框架,均为使用参数化语句提供便利。

Mysqli包括与PHP 5.x ,可以访问MySQL4.1及以后的版本,是最常用的数据库接口之一,通过使用问号占位符来支持参数化语句

例如:

$con = new mysqli (“localhost”,”username”,”password”,”db“);

$sql = “SELECT * FROM users Where username=? AND password=?”;

$cmd = $con->prepare($sql);

//Add parameters to SQL query

$cmd->bind_param(“ss”, $username, $password); //bind parameters as strings

$cmd->execute();
    1. 使用PDO包包含在PHP 5.1 及之后的版本中。 他是一个面向对象且独立于供应商的数据层,用于访问数据库。PDO支持使用冒号字符和问号占位符两种方式来命名参数。

例如:

$sql =” SELECT * FROM uses WHERE username=;uswename AND” + “passwoed=:password”;
$stme = $dbh->prepare($sql);
//bind values and data types
$stmt->bindParam(‘:username’,$username, PDO::PARAM_STR,12);
$stmt->bindParam(‘:password’,$password, PDO::PARAM_STR,12);
$stmt->execute();

    1. PHP中的输入验证

PHP不直接依赖表面层,因为PHP中的输入验证支持和Java中极其相似,都是专属于所使用的框架。所以我们可以使用PHP中的很多函数来作为构造输入验证的基本构造块

  1. preg_match(regex,matchstring): 使用正则表达式regex对 matchstring 做正则表达式相匹配
  2. is_<type>(input): 检查输入是否为<type>, 例如is_numeric().
  3. 检查函数strlen(input): 检查函数检查输入的长度

使用preg_match验证表单参数如下例:

$username = $_POST[ ‘username’]
If (!preg_match(“/^[a-zA-z] {8,12}$/D”, $username)  {
   / / handle failer validation
}

 

 

Caishibo_
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SQL注入攻击的原理及其防范措施
雪候鸟
08-31 1603
SQL注入攻击的原理及其防范措施ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用N
SQL注入攻击常见方式及测试方法
热门推荐
Lambda_Y的博客
11-04 11万+
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入让小伙伴有个了解。适用的人群主要是测试人员,了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,至于如何预防SQL注入,按理说应该是开发该了解的事情~但是作为一个棒棒的测试,搞清楚原理是不是能让我们更加透彻地理解bug的产生原因呢~好啦,话不多说,进入正题~ 如何理解SQL注入(攻击)? SQL注入
sql防注入
windflybird
04-09 2960
sql语句:通过SQL语句,实现无帐号登录,甚至篡改数据库SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题) 这是为什么呢? 下面我们分析一下: 从理论上说,后台认证程序中...
oracle sql查询时间_「Burpsuite练兵场」SQL注入及相关实验(二)
weixin_39715652的博客
12-04 161
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于SQL注入及相关实验的讲解,对实验感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」SQL注入及相关实验(一)上节内容介绍了一些基础的SQL注入操作,这一节实验学习的内容为如何在探查到了SQL注入点后利用漏洞获取到数据库信息。通过SQL注入获取数据库信息获取数据库的关键信息,如数据库中的表和列需要访问保存描述各种数据库...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6591
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
mysql延迟注入br,实验3—SQL注入漏洞的攻击与防御(基于时间延迟的盲注)
weixin_39886205的博客
03-18 411
1.实验名称SQL报错注入2.实验环境1、攻击机系统环境:Windows 7/8/102、浏览器:Firefox 53.0.2(64位)3、浏览器插件HackBar 1.6.3.13.实验原理3.1 SQL盲注用到的几个函数IF(Condition,A,B)函数:当Condition为TRUE时,返回A;当Condition为FALSE时,返回B。没有任何报错信息,只能靠时间线的长短来判断。利用前...
ASP.NET防范SQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
打造网站的坚盾——SQL注入防范专题——SQL注入防范之完善网站程序.pdf
09-19
本文档《打造网站的坚盾——SQL注入防范专题——SQL注入防范之完善网站程序》针对如何增强ASP等网站程序抵抗SQL注入攻击的能力提供了专业指导。 首先,文档强调了SQL注入攻击的基本原理,即攻击者在用户可输入的...
MySQLSQL 注入与防范方法
12-15
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对...
SQL注入防范防范网页木马.pdf
09-19
"SQL注入防范防范网页木马" 在本文中,我们将讨论如何防范SQL注入攻击和网页木马,以保护我们的数据库和网站安全。 防范SQL注入攻击 SQL注入攻击是一种常见的网络攻击手法,攻击者通过注入恶意的SQL代码来获取...
JSP 防范SQL注入攻击分析
10-30
在本文中,作者以自己的亲身体验,详细地分析了SQL注入攻击的原理和防范措施。 首先,作者强调了SQL注入攻击的三个基本步骤。第一步是发现SQL注入点,攻击者通常会通过在输入字段中插入特殊的SQL代码片段来检测网站...
从入门到入土:[SEED-Lab]-SQL注入攻击|SQL Injection Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
10-26 4592
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-SQL注入攻击实验环境环境配置apachePDF文件实验 实验环境 seed-ubuntu 20.04 seed自带虚拟机已经安装好了mysql服务,root密码是seedubuntu 实验室环境。该实验室已经在我们预构建的Ubuntu16.04VM上进行
sql注入实验
我了解豹女就像农民伯伯了解大米
02-24 1408
实验目的 使学员了解SQL注入的原理和利用方法 实验内容 实验靶机URL:http://10.110.2.145:8008/ 通过手工注入获取admin账户的密码 实验过程进行截图,要求必须要有payload和结果截图 实验过程截图 SQL手工注入 http://10.110.2.145:8008/article.php?id=1 and 1=1 #有回显 http://10.110.2.145:8008/article.php?id=1 and 1=2 #无...
sql where 1=1 规范代码
赵崇
01-19 6202
在讲解这个问题的时候,首先来看一个例子。看一下这两个句子:select * from user select * from user where 1=1这两个 句子执行结果是一样一样的。而sql注入就是利用了这个原理 来进行破坏。比如:select * from user where id='1000'如果允许用户输入的话,那么这个句子就成了:select * from user where id
网络安全实验4 SQL注入攻击
一半西瓜的博客
01-30 1万+
赞赏码 & 联系方式 & 个人闲话 【实验名称】SQL注入攻击 【实验目的】 1.了解SQL注入的基本原理 2.掌握PHP脚本访问MySQL数据库的基本方法 3.掌握程序设计中避免出现SQL注入漏洞的基本方法 【实验原理】 1.什么是SQL注入攻击 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服...
sql注入攻击
weixin_47450807的博客
03-04 3408
一、什么是sql注入 几乎每一个web应用都需要使用数据库来保存操作所需的数据,所以web程序经常会建立用户提交数据的sql语句,如果建立这种语句的方法不安全,那么应用程序就很容易受到sql注入的攻击。最严重的情况下,攻击者可以利用sql注入读取甚至修改数据库中保存的所有数据。用户可以提交一段数据库查询的代码,根据程序返回的结果,获取某些他想知道的数据。这就是所谓的SQL Injection,即SQL注入。 二、简单例子 如上图所示,我们在登录时需要传入四个参数,企业代码,登录账号,登录密码,验证码,我们
Kali网络渗透测试实验三——XSS和SQL注入
qq_45746876的博客
11-24 3758
XSS和SQL注入前言实验目的系统环境:Kali Linux 2、Windows ServerXSS部分:利用Beef劫持被攻击者客户端浏览器实验环境搭建1.利用AWVS扫描留言簿网站,发现其存在XSS漏洞2.Kali使用beef生成恶意代码3.访问http://留言簿网站,将恶意代码写入网站留言板4.管理员登录login.htm,账号密码均为admin,审核用户留言5.回答问题SQL注入部分:DVWA+SQLmap+Mysql注入实战sqlmap语法参考1.注入点发现2.枚举当前使用的数据库名称和用户名3
SQL注入及解决办法
mulinghanxue的博客
07-10 684
SQL注入:(查询的百度解释如下) 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄...
SQL注入防范字典与操作关键字
1. **SQL注入攻击**:当应用程序将用户输入直接拼接到SQL查询中,而不进行适当的验证和转义,就可能导致SQL注入。攻击者可以构造特殊的输入来执行非预期的数据库操作。 2. **关键字**:文件中的关键字如`select`, `...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Caishibo_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值