SQL注入

最新推荐文章于 2023-06-26 18:19:09 发布
最新推荐文章于 2023-06-26 18:19:09 发布
阅读量193 收藏
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43621789/article/details/106897170
版权

1.什么是SQL注入?
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界最普遍的漏洞之一。
SQL注入其实就是恶意用户通过在表单中填写SQL关键字的数据来使数据库执行非常规代码的过程
这个问题的来源是。SQL数据库的操作是通过SQL语句来执行的。而无论是执行代码还是数据项都必须卸载SQL语句中,这就导致如果我们在数据项中加入了某些SQL语句关键字,这些关键字就很可能在数据库写入或读取数据时得到执行

2.SQL注入简单例子
比如做登录验证时,假设SQL语句为select * from table where name=‘xxx’ and password=‘xxx’ and compare=‘xxx’
假设姓名和密码都做了验证、验证码未做验证,当用户在输入框中输入:‘ or 1=1-- 那么SQL就会变为
select * from table where name=‘xxx’ and password=‘xxx’ and compare=’ ’ or 1=1 --’
可以看出就相当于会执行select * from table where name=‘xxx’ and password=‘xxx’ and compare=’ ’ or 1=1
而1=1会一直成立,结果显而易见,登录验证通过
另外,当我们改变输入框中的输入,(只有客户端的验证等于没有验证,页面长度验证等形同虚设),比如一些查询语句,那么就可以通过报错信息获取服务器的库名、表名、字段名进而获取数据库中的信息
如果我们在输入框中输入
另外如果我们插入某条数据时,假设语句为insert into table student(name) values(‘xxx’)
如果我输入的是:"‘tom’);drop table student;" 拼接后甚至可能会删除掉student表的数据
3.如何防止SQL注入
1)数据校验:尽量避免使用常见的数据库名和数据库结构;使用正则表达式等字符串过滤手段限制数据项的格式、字符数目等,避免数据项中存在引号、分号等特殊字符; 将数据项以参数的方式与SQL执行语句分离

2)权限限制: 严格限制web因公的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害

3)日志处理: 当数据库操作失败时,尽量不要将原始错误日志返回
4)其他注意事项:只有客户段的验证等于没有验证;SQL注入不禁能通过输入框,还能通过URL达到目的
处理服务器错误页面,还有其他方法获取到数据库信息 可通过软件模拟注入行为

4.常见防止SQL注入方式
https://mp.weixin.qq.com/s/IFS7oFCzednybKJBw0On6w

宇的博客
关注
sql注入
qq_30365511的博客
07-06 674
直接放图 有回显的地方可以插入sql语句,pyload看url order by 找出3个字段 union select 1,2,3 2,3就是显示位,可以放sql语句,–+为了注释后面语句 例如这个 报错注入三种都试一下paylod里面放sql语句 第七题传个马,然后。。。。。然后我没菜刀 第八题盲注 就是瞎猜(开个玩笑)通过页面是否正确返回来判断 例如 第九题,显示一样,加一个sleep函数区分是否执行和第八题一样 第十题,双引号盲注,剩下的和第九题一样 ...
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
JSP如何防范SQL注入攻击
在路上
03-22 295
SQL注入攻击的总体思路:发现SQL注入位置;判断服务器类型和后台数据库类型;确定可执行情况对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。 注入法:从理论上说,认证网页中会有型如:select * from admin where username='XXX' and password='YYY' 的语句,若在正式运行此句之前,如果没有进行必要的字符过滤,则...
SQL注入-验证码处理
m0_61974571的博客
10-12 987
当验证码保存在session变量中,每一次刷新登陆页面,会重新生成验证码,会重新访问一次vcode.php,但是如果不刷新页面,二十直接通过python,burp,fidder等直接发送登陆请求,则此时验证码在session中会保持最后一个,从而只需要在发送登陆请求时将验证码设置为最后一个即可。接下来,后续的每一个请求,将会在cookie字段中添加session ID,目的在主动告诉服务器,我是谁。核心目的是确保是人在使用系统,图片验证码,拖动验证码,拼图验证码,问答验证码,计算验证码。
SQL注入攻击以及防护
飞梦鸿图霸业的博客
10-17 3372
在学习、面试过程中,多次接触过SQL注入攻击,今天我们就来好好总结一下吧。 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL注入攻击是指提交一段数据库代码,根据程序返回的结果获得某些他想得知的数据中,或者是删除数据库中重要数据以此来达到破坏数据库的目的。相关的SQL注入可以通过测试工具pangolin进行。 对于如何进行注入,我们可以举一个简单的例子,比如查询某一个东西,存在sele
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
php安全编程—sql注入攻击
weixin_34138139的博客
12-30 114
原文:php安全编程—sql注入攻击php安全编程——sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平...
(原创)ssm sql 例子(freemarker+jsp)
weixin_30662109的博客
12-06 67
ssm整合地址:http://www.cnblogs.com/xiaohuihui96/p/6104351.html 接下讲解一个插入语句的流程和顺带讲解freemarker+jsp视图的整合 初次接触,如果有错误请评论指出,谢谢 表单界面:add.jsp <%@ page language="java" contentType="text/html; charset=UTF-8...
20150117--SQL注入+验证码类
weixin_30641999的博客
04-21 402
20150117--SQL注入+验证码类 回顾 会话技术:cookie和session cookie:将数据保存到浏览器(HTTP协议设置响应头) 设置cookie:setcookie(名字,值,过期时间,作用域,域名); 读取cookie:$_COOKIE s...
FreeMarker入门到简要分析模版注入
weixin_65550121的博客
06-26 947
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。模板编写为FreeMarker Template Language (FTL)。它是简单的,专用的语言,不是像PHP那样成熟的编程语言。那就意味着要准备数据在真实编程语言中来显示,比如数据库查询和业务运算, 之后模板显示已经准备好的数据。
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 1993
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
sql注入流程
qq_40753178的博客
01-23 332
sql注入流程 联合查询: 查闭合id=1’ and 1=1 id=1’ and 1=2 查列数 http://127.0.0.1/shouke.php?id=1") order by 4 # 显示位 http://127.0.0.1/shouke.php?id=1") and 1=2 union select 1,2,3,4 # 查数据库名 http://127.0.0.1/shouke...
sql注入漏洞
QQ1012421396的博客
03-18 785
PreparedStatement可以有效防止sql注入,PreparedStatement会预编译sql语句,然后再注入参数,这样防止sql拼凑注入。而Statment不能防止sql注入,它是直接发送执行,因此可以借机拼凑sql语句。 使用Statement发送sql Login.java package com.cn.statement;import java.io.Buff
SQL注入攻防深度解析
"SQL注入天书是一份详尽介绍SQL注入技术的资料,涵盖了从基础到高级的ASP注入方法和技巧,适合不同水平的读者学习。" SQL注入是一种常见的网络安全漏洞,发生在Web应用程序未能充分验证和清理用户输入时。当用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值