怎么避免SQL注入:

最新推荐文章于 2024-09-22 16:16:41 发布
最新推荐文章于 2024-09-22 16:16:41 发布
阅读量1.6k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38289534/article/details/81175479
版权

 

SQL注入简介

    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

二、SQL注入攻击的总体思路

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不通的服务器和数据库特点进行SQL注入攻击

 

三、SQL注入攻击实例

比如在一个登录界面,要求输入用户名和密码:

可以这样输入实现免帐号登录:

用户名: ‘or 1 = 1 –

密 码:

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下:

从理论上说,后台认证程序中会有如下的SQL语句:

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码,上面的SQL语句变成:

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL语句:

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;

然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

这还是比较温柔的,如果是执行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知… 

四、应对方法

下面我针对JSP,说一下应对方法:

1.(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理:

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

qq_38289534
关注
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2587
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
SQL注入SQL注入类型(手动)&SQL注入的检测
caoxinjian423的博客
03-07 1611
一、SQL注入流程 1、判断是否有SQL注入漏洞(检测) 2、判断操作系统、数据库和web应用类型 3、获取数据库信息,包括管理员信息及拖库 4、加密信息破解,sqlmap可自动破解 5、提升权限,获得sql-shell、os-shell、登录应用后台 二、SQL注入类型(手动) 1、基于错误的注入 错误注入的思路是通过构造特殊的sql语句,根据得到的错误信息,确认sql注入点 ...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6713
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止SQL注入
最新发布
weixin_61898502的博客
09-22 544
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
如何避免 sql 注入?
蜗牛Clear的博客
04-28 811
SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,来影响后端数据库的正常查询。遵循这些最佳实践可以大大降低SQL注入的风险,但请注意,没有绝对的安全。始终需要保持警惕,并随着新技术的出现不断更新你的安全策略。
防止sql注入的方法
qq_36031634的博客
09-06 3094
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
高级SQL注入:混淆和绕过.pdf
03-21
高级SQL注入:混淆和绕过 本文总结了高级SQL注入技术,包括混淆和绕过技术,旨在帮助安全研究人员和开发者更好地理解和防止SQL注入攻击。下面是本文中提到的关键知识点: 1. 过滤规避(Mysql):通过使用特殊的SQL...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。 此资源包含:宽字节注入、SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试...
如何避免SQL注入
木易三水良
01-27 1110
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
如何避免 SQL 注入?
m0_68464502的博客
06-13 1554
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
怎么防止SQL注入
。。。。
03-21 7262
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 5万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
如何有效防止sql注入
Java旅途
08-12 2894
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。 一 背景 假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信
2020-10-10
不二的博客
10-10 995
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
5. 错误处理:避免暴露详细的数据库错误信息,以免给攻击者提供更多信息。 6. 保持更新:定期更新数据库管理系统和应用框架,修复已知的安全漏洞。 在Spring Boot环境中,我们可以利用Spring提供的JdbcTemplate和...
如何防止 SQL 注入?
weixin_40074744的博客
10-25 262
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入的问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
如何有效防止SQL注入攻击
HollisChuang's Blog
08-17 1281
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值