关于利用oracle自带功能防止SQL注入的方法

最新推荐文章于 2024-05-20 21:14:17 发布
最新推荐文章于 2024-05-20 21:14:17 发布
阅读量4.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33574974/article/details/52352184
版权

                                              关于利用oracle自带功能防止SQL注入的方法


在B/S开发中我们经常会考虑一个安全问题那就是防止SQL注入,现在介绍ORACLE自带的程序包进行防止SQL注入;在oracle的DBMS_ASSERT

包中包含了相关的函数,将传入的参数使用其进行检查,如果不符合相关规则,那末SQL语句执行会报错,从而达到防止SQL注入的风险。
   ENQUOTE_LITERAL
   输入字符串,并且在前后加上单引号;从而避免字符串中有多个单引号的问题。
     select dbms_assert.ENQUOTE_LITERAL('test '||chr(58)||test)      from dual;
   ENQUOTE_NAME 前后加上单引号并且将字符串变为大写;
   QUALIFIED_SQL_NAME 验证输入的字符串是否为一个有效模式的对象名,可以用来验证函数 表 过程等的有效性。
  SIMPLE_SQL_NAME 与QUALIFIED_SQL_NAME功能相同。
  SQL_OBJECT_NAME 验证字符串是否为有效的对象名。


qq_33574974
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle防止sql注入proc,解密:Oracle怎么SQL注入
weixin_34160181的博客
04-03 1202
昨天我们说了怎么绕过waf进行sql注入,今天我们继续这个话题,说说Oracle数据库本身在sql注入方面做了哪些工作。Oracle从8i开始PL/SQL中涌现出了大量SQL注入漏洞,直至11.2版本才基本扫清了PL/SQL自身存在的SQL注入漏洞。但时至今日依然存在一些跨语言边界的注入漏洞和二阶SQL注入漏洞。在OracleSQL注入漏洞的战斗史中关键的两步分别在10gr2和11gr1达成。...
sqlmap 注入oracle,使用 sqlmap 进行 SQL 注入检测
weixin_34915171的博客
04-13 1632
为什么80%的码农都做不了架构师?>>> 最近在看《白帽子讲 Web 安全》,讲服务器端注入攻击时提到一个神器 sqlmap。到 Github:sqlmap 下载工具,到目录下运行python sqlmap.py -u "https://my.oschina.net/lvyi/blog?catalog=423226&temp=1476090615355"即可开始分析有没有...
oracle防止sql注入proc,试图在使用JPA动态引用Oracle包时阻止SQL注入
weixin_39876592的博客
04-03 259
我已经走了一段路,撞到了一堵墙,上面写着这是怎么可能实现的。基本上,查询是使用JPA构造的,并传递给Oracle数据库。在数据库上有一个包,用于生成引用,它是基于环境动态命名的。该值是用户可编辑的,并在应用程序中存储为db属性。我对这个体系结构没有任何控制权。在pre-jpa阶段,使用包的引用值生成一个查询字符串,该值被设置为一个属性(同样,我不能更改这种设计方式)。我用Query方法setPar...
oracle:sql注入
最新发布
kzr380203739的专栏
05-20 57
3、cookie注入:注入字段在cookie数据中,网站使用通用的注入程序,会对get、post提交的数据进行过滤,缺往往遗漏对cookie中的数据进行过滤。4、其他注入:http请求的其他内容出发的SQL注入漏洞,如user-agent、referer、x-forwarded-for(xff,)等。xff代表客户端“真实的IP地址”,xff注入即注入点位置在头部的xff头的位置。5、二次注入:注入位置在引用我们提前插入的恶意字段。2、post注入:注入字段在PAST提交的数据中。
like避免注入 oracle,模糊查询的like '%$name$%'的sql注入避免
weixin_30564447的博客
04-12 470
1035-Spell checker(模糊匹配)一,题意: 给出一组字典的单词,以'#'结束,之后给出一组要执行模糊匹配的单词序列,以'#'结束 1,若某个单词能在字典中找到,则输出corret 2,若某个单词能通过 变换 或 删除 或 添加一个字 ...JQ 数字验证$.fn.extend({ checknum: function (min, max, acc...
oracle防止sql注入
weixin_30871905的博客
04-11 743
sqlserver 使用 @name oracle 使用 :name 转载于:https://www.cnblogs.com/zjw520/archive/2013/04/11/3014602.html
oracle过程防止sql注入,oracle存储过程防止sql注入的有关问题。
weixin_39996134的博客
04-04 469
SQL codeCREATE OR REPLACE function certificatefunction1(projectstate in int,projectname in varchar,startDateMin in varchar,startDateMax in varchar,endDateMin in varchar,endDateMax in varchar,certifica...
动态SQL(二)
热爱生活,努力工作
11-11 429
1.无绑定变量的动态语句:静态zif
SQL 注入详解
Bel_Ami_n的博客
02-02 520
SQL 注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL 注入分类 1. 数字型注入 当输入的参数为整型时,则有可能存在数字型注入漏洞。 假设存在一条 URL 为:HTTP://www.aaa.com/test.php?id=1 可以对后台的 SQL 语句猜测为: SELECT * FROM table WHERE i
过滤SQL关键字,防止SQL注入
热门推荐
打酱油的男神
06-20 1万+
定义一个方法进行关键字的过滤,方法中使用正则表达式过滤:///<summary> /// 过滤字符串中注入SQL脚本的方法 ///</summary> ///<param name="source">传入的字符串</param> ///<returns>过滤后的字符串<..
防止sql注入
weixin_43778463的博客
09-19 377
防止sql注入
C#连接oracle数据库增删改查实例
04-28
C#连接oracle数据库,增删改查实例,OracleParameterSql注入等,适用于新手学习
Oracle数据库中SQL注入攻击的检测与
03-01
论文介绍了SQL注人攻击及其常用的攻击技术,给出了在Oracle数据库中对SQL注人攻击的检测方法御措施,文中的检测方法和预措施可以应用到任意的数据库系统中。
oracle 设置忽略关键字,Oracle中Hint被忽略的几种常见情形
weixin_34342589的博客
04-03 553
Hint可以影响优化器对于执行计划的选择,但这种影响不是强制性的,优化器在某些情况下可能会忽略目标SQL中的Hint。由于各种原因导致Hint被Oracle忽略后,Oracle并不会给出任何提示或者警告,更不会报错,目标SQL依然可以正常运行,这也符合Hint实际上是一种特殊注释的身份。注释本来就是可有可无的东西,不应该因为它的存在而而导致原先在没有Hint时可以正常执行的SQL因为加了Hint后...
SQL注入笔记
Unknowncheats的博客
08-25 552
SQL注入如何预? 本文参考自owasp,重点是提供清晰,简单,可操作的指导,以防止应用程序中的SQL注入漏洞。不幸的是,SQL注入攻击很常见,这是由于两个因素: SQL注入漏洞的显着流行 目标的吸引力(即数据库通常包含应用程序的所有有趣/关键数据)。 发生了如此多的成功SQL注入攻击有点可耻,因为在代码中避免SQL注入漏洞非常简单。 当软件开发人员创建包含用户提供的输入的动态数据库查询时,会引入SQL注入漏洞。为了避免SQL注入缺陷很简单。开发人员需要: a)停止编写动态查询; b)防止用户...
如何实现数据库的Sql注入拦截的一点想法
lifeneedyou的专栏
12-23 390
      Sql注入攻击是一种比较常用的攻击手段,通常我们比较难以界定,所以,做控也是比较困难的,开发的时候,需要考虑代码被Sql注入的可能,业界通用的做法是配置黑白名单或者规则库,这是一种解决方案,然而这种解决方案对于使用起来成本还是挺高的,特别对于不是特别懂的人难于配置。        我想,这样一种思路:一个系统内的Sql语句的数量是有限的,那么我们可以把所有的SQl都收集起来,...
Oracle 使用PreparedStatement防止SQL注入
每天进步一点点 时间会让你成为巨人
01-05 9400
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
.NET 环境下使用C# 防止SQL注入式攻击
黑鹰
10-25 1051
在.NET环境下使用C#防止SQL注入式攻击,我们的解决方式是:1、首先在UI录入时,要控制数据的类型和长度、防止SQL注入式攻击,系统提供检测注入式攻击的函数,一旦检测出注入式攻击,该数据即不能提交;2、业务逻辑层控制,通过在方法内部将SQL关键字用一定的方法屏蔽掉,然后检查数据长度,保证提交SQL时,不会有SQL数据库注入式攻击代码;但是这样处理后,要求UI输出时将屏蔽的字符还原。因此系统提供屏蔽字符 的函数和还原字符的函数。3、在数据访问层,绝大多数采用存储过程访问数据,调用时以存储过程参数的方式访问
sql注入 oracle
11-22
SQL注入是一种常见的攻击方式,攻击者通过在应用程序中注入恶意的SQL语句来获取敏感信息或者执行非授权的操作。Oracle数据库也存在SQL注入漏洞,攻击者可以通过注入恶意的SQL语句来获取敏感信息或者执行非授权的操作。 以下是一些SQL注入攻击的方法: 1. 使用参数化查询:使用参数化查询可以有效地防止SQL注入攻击,因为参数化查询会将用户输入的数据作为参数传递给数据库,而不是将其作为SQL语句的一部分。 2. 对用户输入进行过滤和验证:对用户输入进行过滤和验证可以有效地防止SQL注入攻击,例如限制输入的长度、类型和格式等。 3. 最小化数据库的权限:最小化数据库的权限可以有效地减少攻击者利用SQL注入漏洞进行攻击的机会。 4. 定期更新数据库和应用程序:定期更新数据库和应用程序可以有效地修复已知的漏洞和安全问题,从而减少SQL注入攻击的机会。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值