MySQL SQL 注入

最新推荐文章于 2023-08-09 19:55:45 发布
VIP文章 最新推荐文章于 2023-08-09 19:55:45 发布
阅读量181 收藏
点赞数
分类专栏: mysql sql 数据库 文章标签: MySQL sql 教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nayun123/article/details/119204929
版权

本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。

SQL注入可能是目前互联网上存在的最丰富的编程缺陷。 这是未经授权的人可以访问各种关键和私人数据的漏洞。 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 它是从远程位置执行的最致命和最容易的攻击之一。

我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。

以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间:

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
   $result = mysqli_query($conn, "SELECT * FROM users 
                          WHERE username=$matches[0]");
}
 else 
{
   echo "username 输入异常";
}

让我们看下在没有过滤特殊字符时,出现的SQL情况:

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
 mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");

以上的注入语句中,我们没有对 $name 的变量进行过滤,$name 中插入了我们不需要的SQL语句,将删除 users 表中的所有数据。

在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句

最低0.47元/天 解锁文章
nayun123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入详解
m0_67391121的博客
07-28 3045
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。...
MySQLSQL 注入
12-16
MySQLSQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间: if (preg_match("/^w{8
SQL注入MySQL注入
weixin_51583033的博客
12-20 778
SQL注入MySQL注入
php用户管理系统(简单)学习教程
虾米大王的学习历程
03-27 1万+
最近因为工作原因需要使用php开发网页,所以开始学习php,在学习的过程中也遇到了很多困难,经过不断的查询百度各种学习资料,逐步的客服了这些困难和疑惑,现在我将学习过程中编写的代码分享给有需要的朋友,仅供参考。 此系统比较简单,基本含有了用户管理系统的注册、登录、修改资料、找回密码等功能,共14个php页面,分别为conn.php(数据库连接),index.php(首页),chkuser.php...
学习MySQL(下)
weixin_33979203的博客
11-30 92
22、MySQL ALTER命令 当我们需要修改数据表名或者修改数据表字段时,就需要使用到MySQL ALTER命令。 1、如果需要修改数据表的名称,可以在 ALTER TABLE 语句中使用 RENAME 子句来实现。以下实例将数据表 old_tablename 重命名为 new_tablename: mysql> ALTER TABLE old_tablename RENAME...
sql注入(mysql)
m0_73452266的博客
04-20 519
sql注入基础
SQL注入MYSQL注入
av11566的博客
04-19 6919
前言 MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell操作。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。 必要知识 在MYSQL5.0以上版本中,MYSQL存在一个自带数据库名为information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或者列名信息。 数据库中符号"
SQL注入MYSQL注入总结
qq_39764475的博客
08-12 1823
简介 information_schema是用于存储数据库元数据的表,它保存了数据库名,表名,列名等信息。 让我们从爆破表名到了可以直接查询。 information_schema是MySQL5.0以上数据库独有,MYSQL4.X的没有,只能进行对库名、表名、列名暴力破解。 基本使用 基本语法 1.建立数据库 mysql> create database mysqltest; Query OK, 1 row affected (0.00 sec) 2.查询所有数据库 mysql> show d
sql注入(4)mysql注入
c10udz的博客
04-13 4684
1.MySQL5.x结构框架 在MySQL 5.0以上版本中,为了方便管理,默认定义了information_schema数据 库,用来存储数据库元信息,其中经常用到的表有:schemata(记录数据库名),tables(记录表名),columns(列名或字段名) 在schemata表中,schema_name(记录数据库名) 在tables表中,table_schema(记录存储的数据库名),table_name(表名)(schema_name和table_name都记录了MySQL中所有的数据库名
详细|通过mysql学习sql注入
st3pby的博客
06-08 751
本文来自 【网络安全学习圈】圈内师傅的学习成果,已将其入圈费用返还,如果你也想一块学习,欢迎加入。圈内规划了数个月的学习内容,并提供相应的学习资源和建议,以及一个浓厚的学习氛围。
MySQLSQL注入
01-21
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么有可能发生SQL注入安全的问题。  本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL注入的字符。  所谓SQL注入,是通过把SQL命令插入...
PHP+MysqlSQL注入源码 下载
01-01
PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。
MySQL解决SQL注入的另类方法详解
09-10
主要介绍了MySQL解决SQL注入的另类方法,结合实例形式列举分析了几种防止SQL注入的技巧,具有一定参考借鉴价值,需要的朋友可以参考下
SQL注入详解(主要针对MySQL)
Rockboy777的博客
08-09 430
权限不足时也受影响;join绕过,如:union select 1,2,3 -> union select from (select 1)a join (select 2) join (select 3)substr()和mid()使用from for,如substr(database() from 1 for 1)表示将字符串从1位置截取长度1,mid()同理。
SQL注入介绍
呱呱呱
10-01 1594
sql总结
【超详细版】学习SQL注入看这篇就够了(原理及思路绕过)
MachineGunJoe666
04-27 3245
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
SQL注入原理-堆叠注入
zl5186888的博客
09-21 570
mysqli_query()只能执行一条SQL语句,如果这需要执行多条SQL语句,就需要使用mysqli_multi_query()方法,mysqli_multi_query()可以执行多条SQL语句,如果后端代码使用这个方法去执行SQL语句,我们就可以利用堆叠注入获取后台数据库的信息。这样我们就得到了当前数据库长度,接下来可以爆出数据库的库名以及接下来的获取数据的各种操作,具体的时间盲注操作可以参考我之前的文章——SQL注入原理之时间盲注,原理都一样,小伙伴理解之后套用就行了。
CTFhub-SQL注入
Moyv的博客
01-27 2991
CTFhub-SQL注入
mysql查看版本的方法
热门推荐
小小博客爱分享
06-29 8万+
在日常项目开发过程中,我们经常要连接自己的数据库,此时不知道数据库的版本是万万不可的。今天小树懒来给大家总结一下查看mysql版本的方法。 MySQL查看版本的方法主要有以下四种 方法1: 没有连接到MySQL终端下直接使用mysql命令。打开cmd,切换至 MySQL的bin目录,运行以下命令: [root@localhost lib]# mysql -V mysql Ver 15.1 Distrib 5.5.47-MariaDB, for Linux (x86_64) using readl
mysql sql注入漏洞修复
最新发布
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用PreparedStatement对象代替Statement对象。 2. 过滤输入数据:在应用程序中对用户输入的数据进行过滤,例如去除特殊字符、限制输入长度等,可以有效地防止SQL注入攻击。 3. 使用ORM框架:ORM框架可以自动将Java对象映射到数据库表中,从而避免了手动编写SQL语句的过程,也可以避免SQL注入攻击。 4. 限制数据库用户权限:限制数据库用户的权限,例如只允许执行特定的SQL语句,可以有效地减少SQL注入攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值