SQL注入及解决

最新推荐文章于 2024-08-01 20:47:16 发布
最新推荐文章于 2024-08-01 20:47:16 发布
阅读量215 收藏
点赞数
分类专栏: 数据库 文章标签: mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38821502/article/details/108227528
版权

SQL注入示例:

JAVA代码:

String sql = "select * from product where pname like '%'"
			+ request.getParameter("pname") + "'%'";
conn.execqueryResultSet(sql);

构造SQL注入攻击代码

http://test.qunar.com/product.jsp?id=1' and 1= 2 
uoion select 1, name, pass, 4 from user where "<>'

插入攻击代码之后的SQL语句

select * from product where pname like '%1' and 1= 2 
uoion select 1, name, pass, 4 from user where "<>'

解决:

1)MyBatis使用时,SQL参数时统一使用#{},禁止使用${}

2)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。

3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

4)SQL注入需要输入‘ 和空格等字符,对进入数据库的特殊字符(’"<>&*;等)进行转义处理,或编码转换。

5)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

6)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

7)使用PreparedStatement防止SQL注入
如果有一条SQL语句: “select * from 表 where 用户名 = ‘用户名’”
Statement的SQL语句是这样写的:
“select * from 表 where 用户名 = '”+ 变量值 +"’"
PreparedStatement的SQL语句是这样写的:
“select * from 表 where 用户名 = ?” 然后对应?赋值
输入 “aa’ or ‘1’ = '1”
Statement是将这个和SQL语句做字符串连接到一起执行,和最上边一样的形式。
PreparedStatement是将 “aa’ or ‘1’ = '1” 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

TriumPhSK
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS攻击和SQL注入解决方案
coderWang
09-02 1909
最近发现公司老项目存在XSS和SQL注入问题,分析及记录下 1.什么是XSS攻击手段 XSS攻击简单来说就是JavaScript脚本语言攻击 1. 如 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 2. XSS 输入也可能是 HTML 代码段,譬如: (1) 网页不停地刷新 <meta http-equiv=’re...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
解决sql注入问题
weixin_62246390的博客
03-20 1416
sql注入是黑客常用的方法,如果不解决会在某种程度上造成利益损失,以下为解决方法: 只要用户提供的信息不参与SQL语句的编译过程,问题就解决了. 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement PreparedStatement接口继承了java.sql.Statement PreparedStatement是属于预编译的数据库操作对象 PreparedStatement...
SQL注入方法大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
08-01 1472
SQL注入方法小百科某一个数据库的名字,这个数据库十分的特殊,里面存放着,大量的隐私信息information_schema数据库中的一个表schemata表中的一个字段(列),这个字段中记录着所有数据库的名称information_schema数据库中的一个表tables表中的一个字段(对应数据库的名字),这个字段里面记录着所有的数据库的名字tables表中的一个字段(相应数据库中所对应的表名),记录着与table_schema这个字段对应的数据库中对应的表名。
处理sql注入
Java_learnner的博客
07-20 240
package com.tedu; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Scanner; import com.tedu.utill.jdbcUtil; /** 模拟用户登录 使用PreparedStatement 对象...
SQL注入解决方案
交小新的博客
09-24 633
SQL注入解决方案 //解决SQL注入攻击的方案 private static void login2() { try{ Class.forName("com.mysql.jdbc.Driver"); String url="jdbc:mysql:///cgb2104?characterEncoding=utf8"; Connection conn = DriverManager.getConnection(url, "root", "root");
sql注入解决方案
红星小学扛把子!
04-02 808
sql注入解决方案 mybatis Sql: <if test="safetyPageParam.caseStatus !=null and safetyPageParam.caseStatus != ''"> AND t2.channel_status in (${safetyPageParam.caseStatus}) </if> 问题: 使...
sql注入解决方法.doc
12-29
SQL注入是一种严重的网络安全问题,它发生在Web应用程序未能正确过滤或验证用户输入,导致攻击者能够注入恶意的SQL代码,从而获取未经授权的数据库访问权限。这种攻击通常发生在应用程序将用户提供的数据直接拼接到...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
sql注入常用的解决方法
06-17
sql注入常用的解决方案 集中了常用的集中注入及解决注入的方案 对于sql注入防范于解决
sql注入解决
hexiaoniao的博客
07-09 1863
sql注入解决
sql注入,怎么解决
qq_38983577的博客
08-30 3211
什么是sql注入:     就是通过输入某些参数,达到改变sql语句本身的含义,这种情况就称为sql注入,比如你输入密码时产生了一段sql语句: SELECT * FROM TABLE_NAME WHERE ID="输入值"; 用户在最后加了一个or 1=1;则执行的sql语句where条件永远为真。查询出来是啥就不说了。 那么怎么解决sql注入呢? 1、对输入字符进行校验过滤(正则或j...
SQL注入处理(2)
一个世界一个家,我爱中国!
05-06 841
declare @delStr varchar(8000)set @delStr=set @delStr=set @delStr=set @delStr=set @delStr=set @delStr=set @delStr=set @delStr=set @delStr=set nocount ondeclare @tableName nvarchar(100
解决SQL注入
我想要一颗西柚
10-08 263
使用PreparedStatement 取代 Statement PreparedStatement 解决SQL注入原理, 运行在SQL中参数以?占位符的方式表示 select * from user where username = ? and password = ? ; 将带有?的SQL 发送给数据库完成编译 (不能执行的SQL 带有?的SQL 进行编译 叫做预编译), 在SQL编译后发现...
SQL注入解决方案
m0_54356563的博客
10-14 3304
目录 SQL注入问题及解决方案 SQL注入问题解决方案: JDBC处理事务 1、SQL注入问题及解决方案 SQL注入:利用非法的SQL拼接来达到入侵数据库的目的 以登录为例: /** * 登录方法 */ boolean doLogin(String name, String passwd) { boolean result = false; try { //1、加载数据库驱动 MySQL-》com.my
SQL注入问题解决
zh_tnis的博客
08-24 418
1.什么是SQL注入? 通过SQL语句代码的漏洞,进而攻击系统,从而引起数据泄露。 例如:我的数据库表中的字段记录是 当我Java与数据库进行连接后使用姓名查询,输入'or 1 or'。这个姓名很明显是不存在的,但是查询出来的结果是 可以看到,使用'or 1 or'查询出来的结果是我之前进行查询过的结果,这就是SQL注入。 2.解决SQL注入。 2.1可以对Java语言中传递的字符进行预处理,但是量大,实施时间过长,难以实现。 2.2使用PerpredStatement与数据库连接,获
防止SQL注入
weixin_30628801的博客
11-13 78
一个恐怖的例子: 注入式攻击的详细解释SQL下面我们将以一个简单的用户登陆为例,结合代码详细解释一下SQL注入式攻击,与及他的防范措施。对于一个简单的用户登陆可能的代码如下:try{ string strUserName = this.txtUserName.Text; string strPwd = this.txtPwd.Text; string strSql = "select * fro...
sql注入解决方法
04-27
为了防止SQL注入攻击,可以采取以下几种解决方法: 1. 使用参数化查询(Prepared Statements):参数化查询是一种将SQL语句与参数分开的方法,通过将用户输入的数据作为参数传递给数据库,而不是将其直接拼接到SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TriumPhSK

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值