防止sql注入的简单理解

最新推荐文章于 2023-09-11 16:59:29 发布
最新推荐文章于 2023-09-11 16:59:29 发布
阅读量408 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35845339/article/details/78656874
版权

sql注入是比较常见的网络攻击方式之一,这种错误往往是程序员编程时的疏忽造成的.

比如现实业务中用户想查询产品价格为10,type为"成品"的产品(type分为:成品,半成品,检修)正确sql如下:

select * from production as a where a.type='成品' and a.price=10;


接下来操作页面上有两个条件搜索框,分别为价格产品类型,用户输入价格10,产品类型框输入的不是 成品这个条件 而是''or 1=1 - -

这时候就会引发sql注入.这个时候的sql是这样的

select * from production as a where a.type='' or 1=1 --and a.price=10;

type='' or 1=1 这个条件永远成立 而加上 -- 意味着注释.所以这时会把所有数据查询出来.从而导致查询错误.


解决方法:

1.参数化SQL

这是我们比较常用的,就是在需要填值得地方使用Parameter来给值,用?或#来表示参数.

在使用这种方式的情况下,数据库服务器不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令编译后再拼接上参数,这时就算含有错误参数,由于已经编译完成,就不会被数据库所运行.

2.正则表达式

我们也可以在代码前后端使用正则表达式来过滤参数,将包含有单引号,分号,和注释符号等等的语句给替换掉






winx96
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用Python防止SQL注入攻击的实现示例
09-16
为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接进SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
SQL注入简单理解
铁血蓝狮
11-02 164
一什么是SQL注入? 我的理解是在代表web表单提交的那个文本框中插入恶意的SQL语句,而设计不良的web程序忽略了相应的检查,这些SQL语句就会被数据库认为是正确合法的语句,从而造成破坏。 二SQL注入的原理是什么? [quote]如果在组合SQL的命令字符串时,未针对单引号字符作取代处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用[/quote]...
对:SQL注入问题的简单理解
weixin_43383997的博客
02-14 220
以下以自定义简单页面为例进行测试 例子:当用户进行登陆时,后台servlet会将前台传来的用户名跟密码与数据库的数据进行对比,如果后台sql语句是通过拼接得到的话,就会出现sql注入的情况 部分原因:在对数据库操作的sql语句中,通过-- 和# 会将其后的语句进行注解,即不生效,注意符号后面都带一个空格 数据库测试如下: 正常测试 测试1 测试2 以上的语句均能select出正常的数据,所以这...
sql注入是什么意思以及防止sql注入
@zpp的博客
05-31 9964
----------------------------------------------应对方法---------------------------------------------------------------------    一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如: select count(1) f...
sql注入理解
qq_41386300的博客
05-27 724
百度百科概念:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就...
理解SQL注入
Summerhoney的专栏
06-08 793
SQL注入是常见的一种网络数据安全攻击手段,顾名思义就是在前端发出请求到后台数据查询这个过程中注入指定类型的参数将SQL语句修改从而达到绕过数据验证或窃取数据的目的。以常见的网站登录过程为例,登录时一般要求输入用户名密码,然后提交到后台处理。在有些网站,设计者会直接将表单提交的内容拼装成SQL查询语句,直接查询数据库是否存在相应用户来返回给前端认证结果。假如如下的用户信息表:字段    说明use...
php防止sql注入代码实例
10-26
### PHP防止SQL注入的方法与实践 #### 一、引言 在Web开发中,SQL注入是一种常见的安全攻击手段,攻击者通过将恶意SQL...通过以上内容的学习,您可以更加深入地理解如何在PHP中防止SQL注入,并采取相应的安全措施。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
防止SQL注入式攻击
08-11
在提供的"防止SQL注入式攻击.exe"和"SQLInner"这两个文件中,可能包含了一个示例程序或工具,用于演示如何防止SQL注入。运行或研究这些文件可以加深对御机制的理解。不过,从安全角度出发,不应随意运行未知来源的...
sql注入的解释和范及注意方式
qq_50957390的博客
10-16 541
sql注入的意思 SQL注入,是利用web程序的请求,构建特殊的输入参数,将恶意的SQL语句注入到后台数据库引擎中,最终可以欺骗服务器执行恶意SQL。 防止sql注入 1、分级管理(通过权限,限制用户行为,禁止给予数据库建立、删除、修改等相关权限) 2、参数传值(数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容,过滤掉不安全的输入数据) 3、基础过滤与二次过滤(危险字符有很多,在获取提交的参数时,首先要进行基础过滤,然后根据程序的功能及用户输入的可能性进行二次过滤,以确保系统的安全性) 4、使用安全参
SQL注入的概念和预
大道至简,知易行难
12-25 313
如何理解SQL注入 SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。 输入参数未经过滤,直接拼接到SQL语句中直接执行,达到预想之外的效果 learn.ma/sql/index.php?id=1 select * from article where id =1; learn.ma/sql/index.php?id=-1 OR 1=1 select * f...
SQL注入漏洞产生的原因?如何防止
The Ning
08-17 1580
SQL 注入产生的原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 1、 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 2、 执行 sql 语句时使用 addslashes 进行 sql 语句转换 3、
SQL注入漏洞产生的原因 ? 如何防止?
PHPer技术栈
06-13 2万+
SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入: 开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略小引号和单引号 过滤掉sql语句中...
Sql注入详解(原理篇)
Naive的博客
09-11 1万+
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
【面试】项目为什么能够避免SQL注入
lusonnet的博客
04-18 467
{ } 底层使用的是PreparedStatement类的setString()方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个’/'代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。匹配的是一个占位符,相当于JDBC中的一个?,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止SQL注入问题。匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6509
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
sql注入攻击详解(原理理解
热门推荐
~ Caesar's wish书屋 ~
12-14 3万+
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 一、什么是sql注入呢?    
参数化查询为什么能够防止SQL注入
weixin_30646315的博客
06-12 578
多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 首先:我们要了解SQL收到一个指令后所做的事情: 在这里,简单的表示为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。 具体可能有点不一样,但大致的步骤如上所示。 接着我们来分析为什么拼接SQL 字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

winx96

谢大哥~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值