防止SQL注入

最新推荐文章于 2024-07-22 09:40:00 发布
最新推荐文章于 2024-07-22 09:40:00 发布
阅读量375 收藏
点赞数
分类专栏: 【MS-SQL】 文章标签: sql delete exception 存储 string 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mark4ever/article/details/6036088
版权

string sqlStr = ”用户输入“;

//先做一个判断

if(sqlStr.IndexOf(';') != -1)

{

//Do Something

}

//再做一个替换

sqlStr=sqlStr.Replace("'","''");        //将一个单引号'替换为两个单引号'',而不是双引号",在sql中,单引号是转义符。

try

{

       conn.open();

       //Some SqlComman;

}

catch (Exception ex)

{

       Response.Write(ex.Message);     //直接将错误信息显示给用户,可以考虑高级替换友好界面。

}

finally

{

  conn.Close();

}

 

 

解析:先查找分隔符位置,当用户简单输入的时候,不允许有分号,防止进行攻击,如:
string Sql="SELECT * FROM MyTable WHERE MyTableId = ' " + userInput + " ' ";

当userInput = Take This ! ' ; DELETE FROM MyTable ;--

悲剧了!  导致生成的SQL语句:

SELECT * FROM MyTable WHERE MyTableId = 'Take This ! ' ; DELETE FROM MyTable ;--'

MyTable内容全部被删除,后面的单引号被注释了。

当然他必须知道你的表名称,但万不可因为这点,费尽心思思考奇怪的表名,导致自己的不方便。

 

但有时;会是用户的必要输入,所以替换字符串的单引号'就是第一道有用防线,防止一些小问题。

 

那么我们就应该用高级一些的方法,比如设置数据库账户权限,不允许有删除操作,或者用参数化查询SqlParameters来进行。

 

 

 

 

 

                                                                                          原文方法摘自-----C#2005数据库编程经典教程 Karli Watson

 

我用SqlParameters 方法:

 

许多人有一个误区:就是只用了SqlParameters参数化存储过程,但是查询语句还是拼接出来的。这样还是会被SQL注入。

正确的方法是使用SqlParameters + SQL存储过程

当有用户输入时,并且需要进行 WHERE 查询的时候。就预先设定存储过程,然后执行。比如登录、搜索。

并且存储过程的执行速度比SQL语句快,但是区别不明显。

 

 


mark4ever
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止 SQL 注入
洪晓鸿
04-26 2442
防止 SQL 注入是在使用 Spring Boot 开发 Web 应用程序时必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预防 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击时能够保持数据安全。
Java项目防止SQL注入的四种方案
热门推荐
Venus's Blog
10-06 4万+
SQL注入(SQL Injection)是一种代码注入技术,是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。简单来说,SQL注入攻击者通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,传入后端的SQL服务器执行。结果是可以执行恶意攻击者设计的任意SQL命令。由于’或’1’='1 总是为真,所以可以绕过密码验证登录系统。SQL注入可以通过多种方式进行防范,如使用参数化的SQL语句、输入验证和过滤等方法。
防止sql注入
jingYang07的博客
04-23 851
import org.owasp.esapi.ESAPI; import org.owasp.esapi.Encoder; import org.owasp.esapi.codecs.Codec; import org.owasp.esapi.codecs.MySQLCodec; import org.owasp.esapi.errors.EncodingException; import or...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
PostgreSQL异常:An I/O error occurred while sending to the backend
IT后浪的博客
07-19 445
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
SQL Server开发新纪元:用SQL Server Data Tools (SSDT) 打造数据库
2401_85341950的博客
07-20 968
SSDT 是一个基于Visual Studio的开发工具,它集成了对SQL Server数据库项目的支持。SSDT 提供了可视化的设计界面,以及对数据库版本控制和自动化测试的支持。
SQL Server内置的HTAP技术
最新发布
2401_85789772的博客
07-22 466
假设用户建了一个行存索引和列存索引组合的表,事务插入数据时,会同时插入行存和Delta Store,Delta Store达到100W行阈值后冻结,tuple-mover后台线程会将其中较冷的数据迁移到Main Store,无论是过去的传统数仓,还是现在的大数据技术栈,都存在这个时效性问题。根据数仓场景的特点,SQL Server列存的开销其实可以接受,然后使用类Delta-Main架构也是比较主流的做法,但是到了HTAP的场景,整个数据库需要支撑高并发的查询和更新,列存的开销就会被放大。
PostgreSQL的逻辑架构
weixin_41992498的博客
07-18 191
一、PostgreSql的逻辑架构:所有者:
【MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 492
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要再次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
SQL Server报告服务的艺术:在SSRS中打造专业报告
2401_85760095的博客
07-20 973
SQL Server Reporting Services是一个全面的报告解决方案,它允许从各种数据源生成复杂的交互式和移动友好的报告。SSRS包括一个集成的开发环境,用于设计报告,以及一个部署环境,用于发布和共享报告。
怎样在 PostgreSQL 中实现数据的异地备份?
技术笔记
07-19 1239
总而言之,在 PostgreSQL 中实现数据的异地备份不是一件难事,但也需要我们认真对待,精心规划。选择合适的备份方法和异地存储方式,制定合理的备份策略,定期进行测试和恢复演练,才能确保我们的数据在任何情况下都能“安然无恙”。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
sqlalchemy定期保持mysql连接活跃
ithongchou的博客
07-18 6250
数据库时,确保保持活跃连接是很重要的,特别是在长时间不使用数据库连接时。使用连接池管理数据库连接。通过配置合适的连接池参数可以有效地保持活跃连接。,以保持连接的活跃状态。这可以通过任务调度库如。(超出连接池大小时允许创建的额外连接数)和。(连接在被放回连接池前的最大生存时间)等。查询,保持数据库连接的活跃状态。可以定期执行简单的查询,例如。这个例子会每隔一段时间执行。
spring 同类方法调用事务失效解决办法
weixin_42710740的博客
07-18 364
AopContext.currentProxy()方法的使用场景还包括:‌。
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值