研发安全(二)——后端开发必须掌握的SQL注入漏洞与防护

已于 2024-03-24 18:59:20 修改
阅读量69 收藏
点赞数
分类专栏: 软件研发安全指南手册 文章标签: 安全 sql 数据库
于 2024-03-24 18:58:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3399013670/article/details/136992627
版权

1 引言

SQL 注入对于我们研发人员来说,应该基本都听说过,甚至还在开发功能过程中不知不觉引入了SQL注入漏洞,只是没被发现而已。
所以,本文会系统的介绍下SQL注入漏洞的危害以及我们开发过程中如何进行防护。

2 SQL注入的成因

SQL注入漏洞是由于程序员在编写代码时,没有对用户输入的数据进行充分的验证和过滤,导致攻击者可以在SQL查询中插入恶意代码,从而执行非法操作。这种漏洞通常出现在动态生成SQL查询的应用程序中。

3 SQL注入的危害

  • 数据泄露:获取Web网站数据库,导致数据泄露

  • 数据篡改:攻击者可以通过SQL注入修改数据库中的数据,如更改用户权限、修改订单状态等。

  • 系统破坏:攻击者可以利用SQL注入执行系统命令,如删除文件、关闭服务器等,导致系统瘫痪。

4 SQL注入原理

(1)攻击者在页面提交恶意字符
(2)服务器未对提交参数进行过滤或过滤不足
(3)攻击者利用拼接SQL语句方式获取数据库敏感信息

在这里插入图片描述

5 SQL注入典型案例

5.1 基于错误的SQL注入

攻击者通过在输入中添加特殊字符,如单引号(‘),导致SQL查询语句出现语法错误。
例如,如果一个登录表单的用户名输入框没有进行验证和过滤,攻击者可以输入以下内容:’ OR ‘1’=‘1,这将导致生成的SQL查询变为:SELECT * FROM users WHERE username = ‘’ OR ‘1’=‘1’ AND password = ‘xxx’。由于’1’='1’始终为真,攻击者将成功绕过密码验证。
示例代码:

# 不安全的代码
username = input("请输入用户名:")
password = input("请输入密码:")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"

5.2 盲注

攻击者无法直接获取数据库信息,但可以通过逐步猜测来获取数据。
例如,攻击者可以使用布尔盲注,通过判断某个条件是否成立来推断出数据库的信息。比如攻击者可以输入以下内容:’ AND (SELECT ascii(substr(database(),1,1)) FROM dual) > 100。如果查询返回结果,说明数据库名称的第一个字母的ASCII码大于100。
示例代码:

# 不安全的代码
username = input("请输入用户名:")
password = input("请输入密码:")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND (SELECT ascii(substr(database(),1,1)) FROM dual) > 100 AND password = '" + password + "'"

5.3 时间盲注

攻击者通过观察数据库查询的响应时间来判断某个条件是否成立。
例如,攻击者可以输入以下内容:’ AND IF((SELECT count(_) FROM users) > 1000, sleep(5), 0)。_如果查询需要5秒钟才能返回结果,说明用户表中的记录数大于1000。
示例代码:

# 不安全的代码
username = input("请输入用户名:")
password = input("请输入密码:")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND IF((SELECT count(*) FROM users) > 1000, sleep(5), 0) AND password = '" + password + "'"

6 防护策略和措施

6.1 参数化查询

使用参数化查询可以避免SQL注入,因为它将查询和数据分开处理,确保数据不会被解释为SQL代码。例如:

# 安全的代码
username = input("请输入用户名:")
password = input("请输入密码:")
sql_query = "SELECT * FROM users WHERE username = %s AND password = %s"
params = (username, password)

6.2 输入验证

对用户输入的数据进行严格的验证,比如限制长度,使用正则检查格式。例如:

# 安全的代码
import re
username = input("请输入用户名:")
if not re.match("^[a-zA-Z0-9_]{4,20}$", username):
    print("用户名格式不正确")
else:
    password = input("请输入密码:")
    # ...

6.3 输出编码

对输出的数据进行编码,避免在HTML、JavaScript 等环境中执行恶意代码。例如:

# 安全的代码
username = input("请输入用户名:")
encoded_username = html.escape(username)
# ...

6.4 最小权限原则

数据库连接分配最小的必要权限,避免攻击者获取过多的数据和执行非法操作。例如:

# 安全的代码
import pymysql
connection = pymysql.connect(host='localhost', user='user', password='password', db='db', charset='utf8mb4')
cursor = connection.cursor()
cursor.execute("SET SESSION SQL_MODE='STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'")
# ...

6.5 错误处理

不要在错误信息中泄露数据库的详细信息,避免给攻击者提供攻击线索。例如:

# 安全的代码
try:
    cursor.execute(sql_query, params)
except pymysql.Error as e:
    print("数据库错误,请联系管理员")
# ...

6.6 定期更新和安全审计

及时更新应用程序和数据库管理系统,修复已知的安全漏洞。
定期对应用程序进行安全审计,检查是否存在潜在的SQL注入漏洞。

jackaroo2020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MyBatis中SQL注入攻击和防护——掌握技巧保护应用安全
禅与计算机程序设计艺术
07-28 1163
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
SQL注入漏洞全接触——高级篇.txt
02-13
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 1.有些人会过滤Select、Update、Delete这些关键字,但偏偏忘记区分大小写,所以大家可以用selecT这样尝试一下。 2.在猜不到字段名时,不妨看看网站上的登录表单,一般为了方便起见,字段名都与表单的输入框取相同的名字。  3.特别注意:地址栏的+号传入程序后解释为空格,%2B解释为+号,%25解释为%号,具体可以参考URLEncode的相关介绍。 4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。 5. 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高
sql注入详解
热门推荐
yy
05-05 18万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
1-Web安全——初识SQL注入漏洞
网络安全
04-28 8238
1. 什么是SQL注入 SQL注入是web应用程序对用户输入的数据没有严格进行合法校验和过滤,导致前端传入到后端的数据是可以恶意修改的,攻击者通过构造不同的SQL语句来实现对数据库的任意操作,这就是SQL注入漏洞的原理。 2. 为什么会有SQL注入 研发人员在开发过程中代码逻辑不严谨造成的,例如没有对SQL参数进行严格过滤 未启用框架的安全配置,例如PHP的magic_quotes...
SQL注入——次注入的原理 利用以及防御
kkza的博客
11-23 7209
次注入 次注入是指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。次注入是sql注入的一种,但是比普通sql注入利用更加困难,利用门槛更高。普通注入数据直接进入到 SQL 查询中,而次注入则是输入数据经处理后存储,取出后,再次进入到 SQL 查询。 原理 在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在后端代码中可能会被转义,但在存入数据库时还是原来的数据,数
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
php中sql注入漏洞示例 sql注入漏洞修复
12-18
在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则...
利用SQL注入漏洞登录后台的实现方法
12-15
早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。 如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的...
vue2 顶象 安全 验证码的使用
lele66688888的博客
04-23 319
类似与这样的登录之前的验证 滑动一个盒子了 或者是 顺序点击文字了 等。
RTU遥测终端为城市排水安全保驾护航!
mantoo2014的博客
04-23 471
漫途多参数遥测终端MTW46-10-4A与低功耗遥测终端M4315,能够实时在线监测城市下水管道、涵洞、水浸点及河道的水位状况,同时精准采集水位、流量、流速和水质等数据。一旦监测到险情,平台会通过手机APP、短信通知以及现场声光报警器等多种方式,向城市管理者发出预警,从而有效预防和应对各类排水问题,确保城市排水系统的安全、稳定运行。漫途低功耗远程采集终端M4315是一款实现数据采集、远程传输、远程运维的智能设备,具有功耗低、体积小巧、盲区小、安装便捷等特点,适用于地下管网、雨水井等特殊环境的工业级设备。
Mudem,打造私密安全、高效稳定的私人空间
yescodigger的博客
04-23 349
平台中的一个关键组件,它提供基础通讯服务,确保不同类型的机器之间可以进行安全和高效的连接。用户无需担心环境配置的问题,只需在任何地点、任何时间使用自己熟悉的工作环境,即可实现高效工作,极大地提高了工作效率。用户可以根据自己的需求精确控制终端的访问权限,从而有效地防止了未经授权的访问和数据泄露。这一技术革新不仅使用户能够轻松实现远程访问和控制这些设备,同时确保了终端访问权限的精确控制,从而保障了用户数据的安全。在远程访问过程中确保了数据的机密性和完整性,让用户无需担心数据泄露的风险。精准控制终端访问权限。
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
04-26 901
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
医院手术室麻醉信息管理系统源码 自动生成麻醉的各种医疗文书(手术风险评估表、手术安全核查表)
最新发布
源码技术栈的博客
04-26 1169
手术麻醉信息管理系统包含了患者从预约申请手术到术前、术中、术后的流程控制。手术麻醉信息管理系统主要是由监护设备数据采集子系统和麻醉临床系统两个子部分组成。包括从手术申请到手术分配,再到术前访视、术中记录及术后恢复的全过程中都可以得到全方位的保障。
安全计算环境中,入侵防范的测评指标对应的测评对象包含哪些?
2301_79527080的博客
04-24 461
安全计算环境中,入侵防范的测评指标包括恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。入侵防范的测评对象则包含网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。恶意代码防范:确保系统能够检测和防御恶意软件,如病毒和木马,从而保护计算环境的完整性和保密性。终端设备:用户直接操作的设备,如电脑和手机,它们的安全性直接影响到用户数据的安全。数据对象:存储在系统中的各种数据,包括数据库、文件等,它们是信息安全的核心。
第26天:安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全
IceCream的博客
04-23 991
【代码】第26天:安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全
4.3 海思SS928开发 - uboot开发 - 非安全启动镜像制作
luohaha66的博客
04-23 342
上电,启动GSL,启动uboot,引导内核启动。
半导体晶圆厂内外网数据单向导出,什么样的方案才安全又便捷?
文件数据安全交换
04-25 518
飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。飞驰云联《Ftrans FIE文件安全导入导出系统》,为晶圆厂企业提供物理隔离条件下的文件安全导入导出解决方案,在保持企业物理隔离的网络建设下,实现文件导入导出申请、上传、安全检查、审核、下载等全过程一站式,在提升文件流转整体效率的同时,让文件流转行为更可控安全,保护重要数据资产。
SQL注入漏洞的危害和防护方法
06-10
SQL注入是指攻击者利用Web应用程序中的漏洞,通过向SQL查询中插入恶意代码,来获取或修改数据库中的敏感信息。SQL注入的危害非常严重,它可以导致以下问题: 1. 数据库被盗取:攻击者可以通过SQL注入来获取到数据库中的敏感信息,包括用户名、密码、信用卡号等。 2. 网站被篡改:攻击者可以通过SQL注入来修改网站的内容,例如在网站上插入恶意代码,导致用户电脑受到攻击。 3. 数据库被破坏:攻击者可以通过SQL注入来破坏数据库,导致数据丢失或不可用。 为了防止SQL注入攻击,可以采取以下措施: 1. 输入验证:对于用户输入的数据,需要进行严格的验证,包括长度、格式、类型等,以避免恶意数据被插入到SQL查询中。 2. 参数化查询:采用参数化查询的方式,可以将用户输入的数据作为参数传递给SQL查询,而不是将其直接拼接到SQL中,避免SQL注入攻击。 3. 最小化权限:数据库用户的权限应该被限制在最小化,只赋予其必要的访问权限,以避免攻击者利用SQL注入漏洞获取到过多的权限。 4. 更新软件:及时更新Web应用程序和数据库软件,以确保已知的漏洞已被修复。 综上所述,SQL注入漏洞是一种非常危险的漏洞,需要采取有效的防护措施来避免它的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值