MySQL学习之防SQL注入要诀

最新推荐文章于 2023-04-27 14:00:13 发布
最新推荐文章于 2023-04-27 14:00:13 发布
阅读量137 收藏
点赞数
分类专栏: MySQL 文章标签: 数据库 mysql 防SQL注入要诀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32617703/article/details/103567448
版权

目录

防SQL注入要诀

作为研发,有一条铁律需要记住,那就是

永远不要相信用户的数据,哪怕他一再承诺是安全的

防止 SQL 注入要诀:

  1. 永远不要信任用户的输入

  2. 对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双 “-” 进行转换等

  3. 永远不要使用动态拼装 SQL ,可以使用 SQL 预处理语句

  4. 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接

  5. 不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息

  6. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装

  7. SQL 注入的检测方法一般采取辅助软件或网站平台来检测

爱喝水的qdy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL 及 SQL 注入
12-16
本章节将为大家介绍如何SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远...
PHP+mysqlSQL注入的方法小结
10-17
主要介绍了PHP+mysqlSQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
xss攻击 sql注入攻击_如何保护您的网站免受SQL注入攻击
culh2177的博客
08-27 850
xss攻击 sql注入攻击Thanks to Chris Lienert and Guido Tonnaer for kindly helping to peer review this article. 感谢Chris Lienert和Guido Tonnaer的帮助, 对本文进行了同行审阅 。 Of all the attacks that can be staged against w...
SQL注入其实很简单,别一不留神就被利用了
weixin_34242819的博客
06-08 279
SQL注入这个词相信大家应该都不陌生,而且每年都会有这样子的事情发生,下面我先带大家回忆11年两期起比较经典的案例事件: 1、SONY索尼事件2011年4月,著名的匿名者组织Anonymous注入SONY一个网站,一星期后才被发现7千万的用户个人信息,其中包括姓名、地址、E-mail、出生日期、用户名、密码以及购买记录的数据信息,随后的一些其他服务器也被相继攻破 2、CSDN数据泄露门2011年底...
sql注入及如何sql注入
weixin_43394769的博客
12-18 114
SQL注入与规避
weixin_43798683的博客
12-17 153
无限制输入(单引号闭合) select user,passwd from users where username = ‘$user’ and passwd = '$passwd' 分号隔离 手工注入检测流程 输入单引号检测是否存在注入,语句构造 ' union select user(),@@VERSION -- 注意注释...
2020-10-10
不二的博客
10-10 962
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
MySQL 安全及止 SQL 注入攻击
wjq008的专栏
04-27 1669
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
PHP+MysqlSQL注入源码 下载
04-25
【PHP+MySQLSQL注入】 在互联网开发中,PHP与MySQL是常见的组合,用于构建动态网站和...在日常开发中,应始终遵循最佳实践,使用预处理语句,限制数据库用户的权限,并定期进行安全性审计,以SQL注入等攻击。
MySQL解决SQL注入的另类方法详解
09-10
MySQL中,SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
SQL注入小记
慢慢变小佬的博客
12-19 241
SQL注入笔记: 寻找注入点: 访问下面的连接来观察页面的返回信息: (1)http://xxx.com/jyh.php?id=9 (2)http://xxx.com/jyh.php?id=9’ and ‘1’='1 (3)http://xxx.com/jyh.php?id=9 and ‘1’='2 产生的情况可能有如下几种: **页面没有变化:**访问三个链接,显示的页面没有什么不同。这种情况说...
sql注入
qq_44040833的博客
02-03 3116
SQL注入 sql注入就是web应用程序对用户入的数据合法性没有进行判断,前端传输参数由攻击者构造的sql语句被带入到了数据库,依靠构造sql语句可以进行查询,删除等操作,如果数据库权限很高,还可以对操作系统进行操作。 SQL注入的各种方式 注入点分类 数字注入 字符注入 搜索注入 传参方式分类 get post cookie http头部 返回信息类型分类 布尔盲注 ...
MySql事务开始begin和start transcation的区别
热门推荐
爱喝水的qdy的博客
12-18 1万+
目录事务的开始事务的提交事务回滚 事务的开始 begin或 start transaction 都是显式开启一个事务; 事务的提交 commit 或 commit work 都是等价的; 事务回滚 rollback 或 rollback work 也是等价的; ...
MySQL学习之变量和常量
爱喝水的qdy的博客
12-16 2232
目录设置变量MySQL常量位模式字面量 设置变量 mysql> set @var=10; Query OK, 0 rows affected (0.00 sec) mysql> select @var; +------+ | @var | +------+ | 10 | +------+ 1 row in set (0.00 sec) MySQL常量 MySQL有四个常量: ...
Python3中获取mysql的结果集
爱喝水的qdy的博客
12-17 1623
目录起步查获取结果fetchone情况一情况二情况三fetchmany情况一情况二情况三fetchall情况一情况二情况三scroll移动相对移动绝对移动示例代码 起步 #!/usr/bin/python3 # -*- coding: utf-8 -*- """pymysql查询 """ import pymysql conn = pymysql.connect( user='roo...
MySQL学习历程学习笔记
爱喝水的qdy的博客
12-16 1230
# 数据库管理软件的由来: # 数据想要永久保存,都是保存在文件中的,毋庸置疑,一个文件只能存放在一台机器上, # 如果我们忽略掉直接基于文件来存取数据带来的效率问题,假设程序的所有组件都是运行在一台机器上, # 则上述假设存在以下问题: # 1. 整个程序的所有组件不可能运行在一台机器上 # 因为这台机器一旦宕机则意味着整个软件的崩溃; # 一台机器的性能总归是有限的 # 对一...
mysql存储过程在Python3中的使用(pymysql)
爱喝水的qdy的博客
12-17 841
目录起步存储过程无参调用有参调用示例代码 起步 #!/usr/bin/python3 # -*- coding: utf-8 -*- """pymysql中使用存储过程 """ import pymysql conn = pymysql.connect( user='root', password='', host='localhost', port=330...
MySQL命令行选项
爱喝水的qdy的博客
12-15 538
目录MySQL命令行选项 MySQL命令行选项 记录一份 Usage: mysql [OPTIONS] [database] //命令方式 -?, --help //显示帮助信息并退出 -I, --help //显示帮助信息并退出 --auto-rehash //自动补全功能,就像linux里面,按Tab键出提示差不多,下面有例子 -A...
mysql数据库安全sql注入
最新发布
06-13
SQL注入攻击是利用Web应用程序没有对用户输入的数据进行充分验证过滤,直接将用户输入的数据拼接到SQL语句中执行,从而导致数据库被攻击者非法访问或者非法修改。 为了SQL注入攻击,我们可以采取以下措施: 1. 参数化查询:使用参数化查询可以有效地避免SQL注入攻击,参数化查询将用户输入的数据与SQL语句分开处理,从而避免SQL注入攻击。 2. 过滤用户输入:对用户输入的数据进行过滤,只允许输入符合规定格式的数据,比如只允许输入数字、字母等。 3. 对用户输入进行转义:将用户输入的数据中的特殊字符进行转义,比如将单引号转义成两个单引号,从而避免SQL注入攻击。 4. 设置数据库权限:为了保护数据库安全,我们可以设置数据库的权限,只允许特定的用户访问数据库,并限制他们的操作权限。 5. 更新数据库:及时更新数据库的版本,安装安全补丁,从而避免已知的漏洞被攻击者利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值