sql注入

最新推荐文章于 2024-01-03 17:00:14 发布
最新推荐文章于 2024-01-03 17:00:14 发布
阅读量1k 收藏
点赞数
分类专栏: mysql 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/musi_m/article/details/106749643
版权

sql注入

1 sql注入

SQL注入就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的,如下实例:
1)创建用户表

create table user(
	userid int(11) not null auto_incremnt,
	username varchar(20) not null default '',
	password varchar(20) not null default '',
	primary key (userid)
) type=MyISAM auto_increment='3';

2)给用户表user添加一条用户记录

insert into user values (1,'angle','mypass');

3)验证用户root登陆localhost服务器:

<?php 
	$servername = "localhost"
	$dbusername = "root"
	$dbpassword = "";
	mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
	$sql = "select * from user where username='$username' and password='$password'";
	$result = mysql_db_query($dbname,$sql);
	$userinfo = mysql_fetch_array($result);
	if(empty($userinfo)){
		echo "登陆失败";
	}else{
		echo "登陆成功";
	}
	echo "<p> SQL Query:$sql</p>";
?>

4)提交如下url

http://127.0.0.1/injection/user.php?username=angle' or '1=1
http://127.0.0.1/injection/user.php?username=angle'/*
http://127.0.0.1/injection/user.php?username=angle'/#

结果三个URL都可以成功登陆,第一个是利用OR逻辑运算,后两个则是因为在SQL语句中,"/*“或者”/#"都可以将后面的语句注释掉

2 防止sql注入

    2.1使用prepareStatement+Bind-Variable

Class.forName("com.mysql.jdbc.Driver").newInstance();
String connectionUrl = "jdbc:mysql://localhost:3331/test":
String connectionUser = "test_user";
String connectionPassword = "test_password";
conn = DriverManager.getConnection(connectionUrl,connectionUser,connectionPasswod);
String sqlStmt = "select * from user where username=? and password=?";
System.out.println("Source SQL Statement:"+sqlStmt);
preStmt = conn.preparStatment(sqlStmt);
System.out.println("Before Bind Value:" + prepStmt.toString());
prepStmt.setString(1,"angle' or 1=1");
prepStmt.setString(2,"test");
System.out.println("After bind value:"+prepStmt.toString());
rs = prepStmt.executeQuery();
while (rs.next()){
	String ename = rs.getString("username");
	String job = rs.getString("passwod");
	System.out.println("username:"+username+" ,password: " + password);
}

输出日志如下:
在这里插入图片描述
同样的将"/*“或者”/#"传进去也是失效的

    2.2 使用应用程序提供的转换函数

很多程序都提供了对特殊字符进行转换的函数,恰当的使用这些函数将会避免sql注入,具体如下:
1)MySQL C API:使用mysql_real_escape_string()API调用
2)MySQL ++ :使用excape和quote修饰符
3)PHP:使用mysql_real_escape_string()函数,适用于PHP4.3.0版本
4)Perl DBI:使用placeholders或者quote()方法
5)Ruby DBI:使用placeholders或者quote()方法

    2.3 自定义函数校验

自己编写程序进行输入验证,验证的途径可分为以下几种:
1)整理数据使之变得有效
2)拒绝已知的非法输入符
3)只接受已知的合法输入

例:采用正则表达式的方法提供一个验证函数,已知非法符号有:"’",";","=","(",")","/","/","%","+",">","<","–","[","]",正则表达式如下:
在这里插入图片描述
根据上述表达式,可以提供一个函数,可以防范大多数的sql注入

慕思m
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.JDBC的使用--查询数据
qq_67192586的博客
04-11 442
JDBC查询
Dolphinscheduler执行MySQL任务时报错execute sql error java.lang.RuntimeException: send mail failed!
手提青灯觅佳人的博客
03-17 2713
本次测试Mysql脚本的执行情况报错如下图 解决步骤 前往github官网寻找解决方案 https://github.com/apache/incubator-dolphinscheduler/issues/3790 重点说明几个参数 以HDP部署为例也可以直接修改对应的配置文件conf/alert.properties mail.server.host=smtp.exmail.qq.com mail.smtp.ssl.trust=smtp.exmail.qq.com mail.smtp.ssl.ena
DS调度出现 SQL task prepareStatementAndBind error 错误
zxcvbnm0207的博客
01-03 1125
又在GitHub上问题查询得到可能是 "hive.server2.thrift.max.worker.threads" and "hive.metastore.client.socket.timeout"这两个的配置问题。hive.server2.thrift.max.worker.threads:在这里我将DS阈值设置到了1000,原来是500,因为可能跑的脚本多了,资源不释放什么的,调整完成之后保存重启。在对以上两个配置调整完成之后,完美的解决了DS跑脚本出错的问题。修改配置之后,都客户以执行成功。
dolphinscheduler调度常见问题
Azoner的博客
04-19 938
问题一:每日调度随机出现以下报错,但可通过多次重试执行成功 两种报错: TTransport:SocketTimeout:Read time out SQL task prepareStatementAndBind 分别对应以下bug [Bug] [Task] SQL task prepareStatementAndBind error · Issue #10540 · apache/dolphinscheduler · G
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4124
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
Preparestatement解决sql注入安全问题
qq_75222206的博客
07-11 339
【代码】Preparestatement解决sql注入安全问题。
使用JDBC的预编译方法prepareStatement时报错:sql语法错误
weixin_65920414的博客
02-14 2950
初学preparestatement预编译出现的报错
2021-07-15 dolphinscheduler 执行 PL/pgSQL 语句 中使用全局变量报错
weixin_43124963的博客
07-15 1896
背景: 需要定时执行任务,不同的情况执行不同的插入语句,所以有 DO $do$ DECLARE tstr VARCHAR(14) := '${time_point}'; BEGIN IF TRUE THEN INSERT INTO test SELECT 'total_check_report_static_all', TO_TIMESTAMP(tstr,'YYYYMMddHH24miss'), CURRENT_DATE ; ELSE INSERT INTO test SELECT 'total_chec
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2941
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
JAVA实践期末复习题.docx
最新发布
07-10
JAVA实践期末复习题.docx
sql注入sql注入
05-02
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的数据库操作。攻击者可以利用这个漏洞来绕过身份验证、获取敏感数据、修改数据或者执行其他恶意操作。 为了防止SQL注入攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这样可以将用户输入的数据作为参数传递给SQL查询,而不是将其直接拼接到查询语句中。这样可以防止恶意代码的注入。 2. 输入验证和过滤:对用户输入进行验证和过滤,确保只接受符合预期格式的数据。例如,可以使用正则表达式验证输入是否符合特定的模式。 3. 最小权限原则:确保数据库用户只具有执行必要操作的最低权限。这样即使发生SQL注入攻击,攻击者也无法执行敏感操作。 4. 错误处理:不要向用户显示详细的错误信息,以防止攻击者获取有关数据库结构和配置的敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值