SQL注入攻击防御

最新推荐文章于 2022-06-12 23:52:20 发布
最新推荐文章于 2022-06-12 23:52:20 发布
阅读量225 收藏
点赞数
文章标签: 安全 SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36204764/article/details/97239630
版权

1. 使用预编译语句

预编译语句PreparedStatement是java.sql中的一个接口,继承自Statement接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS先进行编译后再执行。而预

编译语句和Statement不同,在创建PreparedStatement对象时就指定了SQL语句,该语句立即发

送给DBMS进行编译,当该编译语句需要被执行时,DBMS直接运行编译后的SQL语句,而不需要像

其他SQL语句那样首先将其编译。

PreparedStatement的好处:

① 将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。(用参数占位符)

② 效率高,大大提高了代码的可读性和可维护性

 

2.使用ORM框架

防止SQL注入的关键_在于对一些关键字符进行转义,而常见的一些ORM框架,如ibatis、hibernate等,都支持对相应的关键字或者特殊符号进行转义,可以通过简单的配置,很好的预防SQL注入漏洞,降低了普通的开发人员进行安全编程的门槛。

如:通过#符号配置的变量,ibatis能够对输入变量的一些关键字进行转义,防止SQL攻击。

JDBC底层使用PreparedStatement对一些关键字进行了过滤。

 

3.避免密码明文存放

使用MD5,SHA,SHA1单向加密等功能,单向Hash进行加密得到的密文

 

4.处理好相应的异常

后台的系统异常,很可能包含了一些如服务器版本、数据库版本、编程语言等等的信息,甚至是数据库连接的地址及用户名密码,攻击者可以按图索骥,找到对应版本的服务器漏洞或者数据库漏洞进行攻击,因此,必须要处理好后台的系统异常,重定向到相应的错误处理页面,而不是任由其直接输出到页面上.

 

、小H
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入攻击的原理及防御
02-14
SQL注入攻击的原理及防御
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
关于SQL注入防御
Wang的专栏
06-12 2542
一般攻击者会假设网站有sql注入的漏洞,比如这个查询语句: 攻击者假设这个10是文章的id, 攻击者就会猜测可能是上面的sql语句 页面上输入的参数是10,这时候,就可以拼凑测试,比如在url上拼接 1 ) 判断是否可以注入, 一般而言,如果可以的话页面正常,不报错,但是也有其他情况,如下 这两个都没什么反应,不报错,页面正常,说明后面的and没有起作用 攻击者会猜测可能是字符串存在引号的问题, 继续尝试 这样如果页面出错,那么继续修改 这时候页面不报错 这种情况(恒等正常,恒不等报错)就说明,一
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
防御SQL注入的方法总结
weixin_34186128的博客
07-20 1382
这篇文章主要讲解了防御SQL注入的方法,介绍了什么是注入,注入的原因是什么,以及如何防御,需要的朋友可以参考下 SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。 SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询...
SQL注入攻击防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击防御》作者均是专门研究SQL注入安全专家,他们集众家之长,对应用程序的...
RFID系统中两阶段规则的SQL注入攻击防御
10-17
SQL注入攻击是RFID系统的一个重要攻击方式,RFID系统的吞吐量较大,因此其防御方案应具有较高的计算效率,对此提出一种基于两阶段规则的SQL注入攻击防御方案。首先,按照合法数据域建立合法规则库;然后,对RFID标签...
SQL注入攻击防御策略的研究.pdf
01-04
SQL注入攻击防御策略的研究 SQL注入攻击是一种常见的网络攻击方式,通过向网站提交恶意的SQL语句,对数据库进行攻击,盗取或修改数据信息。为了防御SQL注入攻击,需要深入了解攻击的场景、策略和流程。 SQL注入...
二阶SQL注入攻击防御模型.pdf
09-19
由于SQL注入攻击的危害范围广、后果严重,对Web应用程序进行有效的SQL注入攻击防御显得尤为关键。 传统上,SQL注入攻击防御模型主要是通过过滤用户输入和进行SQL语句的语法比较来实现的。但是,这种防御方式存在...
基于随机化处理的SQL注入攻击防御系统.pdf
最新发布
01-04
基于随机化处理的SQL注入攻击防御系统 SQL注入攻击是一种常见且危害严重的攻击手段,近五年来,SQL注入攻击在所有攻击中所占的比重从6.5%增加到了16%。 SQL注入攻击的主要危害包括获取系统控制权、未经授权操作...
SQL注入攻击防御详解
baidu_38803985的博客
04-11 3688
在owasp年度top 10 安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序, 而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地 过滤用户输入的数据,致使非法数据侵入系统。 对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQLSQL Server、Oracle; 通过SQL注...
sql注入之——sql注入防御方法
温柔小薛的博客
07-19 1282
填坑 之前忘记发了 sql注入防御方法 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库 配置使用最小权限原则。通常修复使用的方案有: 一、代码层面 1.对输入进行严格的转义和过滤 2.使用参数化(Parameterized) 二、网络层面 1.通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 2.云端防护(360网站卫士,阿里云盾等) PHP防范推荐方法:PDO预处理——PDO预处理能防止SQL注入的原因 没有进行PDO预处理的SQL,在输入SQL语句进行
SQL注入攻击的原理、分类和防御方法
Andrew的博客
02-27 2万+
一.SQL注入攻击原理 恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。   二.SQL注入攻击分类 (1)注入点的不同分类 数字类型的注入 字符串类型的注入 (2)提交方式的不同分类 GET注入 POST注入 COOKIE注入 HTTP注入 (3)获取信息的方...
SQL注入防御研究(一)
zhalang8324的博客
01-13 708
本文持续更新。为SQL注入攻击防御第二版读后感 第一章 SQL注入产生过程: 1.字符处理不当        '作为分界线。 2.类型处理不当        数字型,没加单引号,直接可继续执行命令。 LOAD_FILE, SELECT INTO OUTFILE 3.查询语句组装不当        $SQL = "SELECT". $_GET["column1"]. ",". $_...
浅谈SQL注入攻击防御(适用于小白观看)
weixin_48477703的博客
06-12 1683
首先你要明白什么是SQL注入攻击 SQL注入攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。 SQL注入的原理 SQL注入攻击原理:程序命令和用户数据(即用户输入)之...
SQL注入攻击技巧与防范
weixin_43829633的博客
05-29 1605
sql注入的危害 非法读取、篡改、删除数据库中的数据 盗取用户的各类敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马等
sql注入实例分析
weixin_30624825的博客
07-23 3456
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
防御SQL注入方法(1)-使用预编译语句
littlecjx
08-19 2720
$query = "INSERT INTO myCity (Name, CountryCode, Distrit) VALUES (?,?,?)"; $stmt = $mysqli->prepare($query); $stmt->bind_param("sss", $val1, $val2, $val3); $val1 = 'Stuttgart'; $val2 = 'DEU'; $val3 = '
SQL注入攻击防御全攻略
防御SQL注入攻击的最佳实践主要包括: 1. **参数化查询**:使用预编译的SQL语句,并将用户输入作为参数传递,可以有效防止SQL注入。这种方法能确保用户输入不会影响查询结构。 2. **输入验证**:对用户提供的所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

、小H

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值