安全架构-SQL注入原理及防范

最新推荐文章于 2023-09-24 15:57:47 发布
最新推荐文章于 2023-09-24 15:57:47 发布
阅读量8k 收藏 1
点赞数 1
分类专栏: 安全架构 文章标签: sql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45937199/article/details/111322034
版权
本文探讨了SQL注入的概念,通过示例解释了如何利用输入数据构造恶意SQL语句绕过验证。同时,提出了防范措施,包括使用预编译语句、密码加密和避免直接字符串拼接,强调了安全意识在防止SQL注入中的重要性。
摘要由CSDN通过智能技术生成

安全架构系列文章

SQL注入原理及防范

文章目录

前言

一、sql注入是什么?

SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。
*

什么意思呢?我们来打个比方:我们有一个登录框,需要输入用户名和密码对吧,然后我们的密码输入 'or ‘123’ = '123 这样的。
我们在查询用户名和密码是否正确的时候,本来执行的sql语句是:select * from user where username = ‘’
and password = ‘’. 这样的sql语句,现在我们输入密码是如上这样的,然后我们会通过参数进行拼接,拼接后的sql语句就是:
select * from user where username = ‘’ and password = ’ ’ or ‘123’ =
‘123 ‘; 这样的了,那么会有一个or语句,只要这两个有一个是正确的话,就条件成立,因此 123 = 123
是成立的。因此验证就会被跳过。这只是一个简单的列子,比如还有密码比如是这样的:’; drop table user;,
这样的话,那么sql命令就变成了: select * from user where username = ‘’ and password
= ‘’; drop table user;’ , 那么这个时候我们会把user表直接删除了。

sql被攻击的原因是:sql语句伪造参数,然后对参数进行拼接后形成xss攻击的sql语句。最后会导致数据库被攻击了。

二、防范方法

  1. 我们可以使用预编译语句(PreparedStatement,这样的话即使我们使用sql语句伪造成参数,到了服务端的时候,这个伪造sql语句的参数也只是简单的字符,并不能起到攻击的作用。
  2. 数据库中密码不应明文存储的,可以对密码使用md5进行加密,为了加大破解成本,所以可以采用加盐的方式。

1.Java处理

1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
2、$将传入的数据直接显示生成在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
如果传入的值是;drop table user;,则解析成的sql为:select id, username, password, role from user where username=;drop table user;
3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名.
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。
在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

2 .NET处理

使用SqlParameter,不要直接拼接参数到sql字符串中

  public UserInfoModel Login(UserInfoModel model)
 7         {
 8             UserInfoModel userInfoModel = null;
 9             string sql = @"select UserName, Password from UserInfos
10                            where UserName=@UserName and Password=@Password";
11             SqlParameter[] paras =
12                 {
13                 new SqlParameter("@UserName",model.UserName),
14                 new SqlParameter("@Password",model.Password)
15              };
16             DataRow row = DBHelper.GetDataRow(sql, paras);
17             if (row != null)
18             {
19                 userInfoModel = new UserInfoModel();
20                 userInfoModel.UserName = row["UserName"].ToString();
21                 userInfoModel.Password = row["Password"].ToString();
22             }
23             return userInfoModel;//true  false
24         }

总结

使用各语言的sql预编译处理功能,即可很好的防范SQL注入,我们需要有sql注入攻击的意识,不要手动写字符串拼接sql进行执行。否则,后果很严重。

ctotalk
关注
专栏目录
SQL注入攻击的原理及其防范措施
12-16
SQL注入攻击的原理及其防范措施
sql注入原理简介
08-26
一、什么是sql注入? 二、sql注入产生原因 三、sql注入原理 四、sql注入共计的简单示例
sql注入漏洞原理
wsp1的专栏
02-28 4335
    ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上
sql注入原理防范
little_spark的专栏
07-16 765
一: sql注入原理 原理就是利用服务器执行sql参数时的特殊性,将正常的数据库字段注入特征字符组成新的SQL语句,导致原来的sql语句“变了味” 举一个简单的例子 $id = $_GET['id']; /// id= 10001 OR 1 = 1 # $qq = $_GET['qq']; // qq= "261414' OR 1 = 1 #" $sql = "S
SQL注入原理防范
走在搬砖的路上!
07-03 369
1.1.2 正文 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 首先让我们了解什...
SQL注入安全防范技术分析.pdf
09-19
综上所述,SQL注入防范需要从多个维度考虑,包括但不限于代码审计、输入验证、使用参数化查询、网络安全配置、安全测试等措施。同时,对于网络安全的其他方面也应当给予足够的重视,以此来维护整个网络系统的安全...
基于LINQ架构防范SQL注入攻击的公共自行车交通系统.pdf
09-19
【基于LINQ防范SQL注入】 在公共自行车交通系统中,采用基于LINQ的多层体系结构可以有效防止SQL注入攻击。具体来说,开发者不再需要手动编写SQL查询语句,而是利用LINQ的查询语法来处理数据库操作。在运行时,LINQ ...
SQL注入攻击及Web应用安全防范技术研究与实践.pdf
09-19
总结来说,SQL注入攻击是Web应用安全的重要威胁之一,其防范措施需要从应用程序的设计、开发和部署维护等多个阶段进行综合考虑,以确保数据库系统的安全性和数据的完整性。通过对上述内容的学习和实践,可以有效提高...
SQL注入原理防范
Macross的专栏
10-26 1011
SQL注入就是攻击者通过正常的WEB页面,把自己SQL代码传入到应用程序中,从而通过执行非程序员预期的SQL代码,达到窃取数据或破坏的目的。  当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生SQL注入SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令
SQL注入的实现原理防范
Derry的专栏
03-24 782
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候需要根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据.   SQL注入攻击的总体思路是:   1. 发现SQL注入位置;   2. 判断后台数据库类
web安全SQL注入原理
ywm_up
07-13 295
一、SQL注入概念 SQL注入即iSQL Injection,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的web漏洞之一。 二、SQL注入过程 SQL注入攻击可以手工进行,也可以通过SQL注入攻击辅助软件,如:HDSI、Domain、NBSI、SQLMap等,其实现过程可以归纳为以下几个阶段: 寻找SQL注入点 获取和验证SQL注入点 获取信息 实施直接控制
安全测试】sql注入原理
q_Catherine的博客
06-12 414
分类: 1、软件服务层测试 2、硬件测试 SQL注入原理 SQL Injection翻译为SQL注射,也叫作SQL注入,就是利用某些数据库的外部接口把用户数据插入到实际数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。 具体案例: 接口地址:http://localhost:8080/sqlmap/test/get2.html?id=5 (结果集是得到id=5的数据) 注入数据:http:...
「网络安全SQL注入攻击的原理
m0_61869253的博客
03-21 633
保护产品免受SQL注入是必不可少的,以确保其正常运行并防止数据泄露。当您编写访问数据库的代码时,考虑从一开始就防止SQL注入是一种很好的做法。这是防止这些漏洞发生的最佳时机,而不是以后修补它们。开发过程应包括针对SQL注入的测试,然后是外部扫描程序。应用程序防火墙 - WAF还可以检测和阻止对您的应用程序的攻击。保护产品免受SQL注入是必不可少的,以确保其正常运行并防止数据泄露。当您编写访问数据库的代码时,考虑从一开始就防止SQL注入是一种很好的做法。
#架构师之性能优化篇--防止SQL注入攻击
流年梦里风起舞
01-21 203
要解决SQL注入攻击,首先必须要认识什么是SQL注入攻击。先来看一个例子: package com.yzh.maven.main; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.St...
sql注入原理防范方式
拾忆的博客
08-16 2572
前言         sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了。最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点,因此共同记录学习一下。 正文 原理         sql注入原理是将sql代码伪装到输入参数中,传递...
了解SQL注入的类型、原理、检测与预防方法
最新发布
m0_73995538的博客
09-24 1106
SQL注入是一种发生在Web程序中数据库层的安全漏洞,下面我们将深入探讨SQL注入原理、影响、检测和预防方法。
深入理解SQL注入漏洞:原理防范
"本文主要探讨了SQL注入漏洞的原理,并提供了相关的示例来说明其危害和常见表现形式。SQL注入是一种常见的网络安全问题,攻击者通过构造恶意的SQL语句,利用应用程序的不当处理,可以执行非授权的数据库操作,获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值