关于sql注入预编译的思考

于 2024-10-11 11:52:34 发布
阅读量317 收藏 9
点赞数 19
文章标签: sql 数据库 web安全 sql注入 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62612080/article/details/142848674
版权

文章目录

SQL注入简单原理

是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。

预编译原理

将sql语句预先编译一次,后面用户输入的数据将参数化执行,不会再编译一次,更安全。

常见后端语言的预编译函数

PHP

在PHP中,PDO(PHP Data Objects)扩展提供了预编译语句的功能。PDOStatement对象表示一条预编译的SQL语句,可以通过PDO对象的prepare()方法创建。

<?php  
try {  
    // 创建PDO实例  
    $pdo = new PDO("mysql:host=localhost;dbname=database_name", "username", "password");  
  
    // 预编译SQL语句  
    $stmt = $pdo->prepare("SELECT * FROM employees WHERE age > :age");  
  
    // 绑定参数值  
    $stmt->bindParam(':age', $age, PDO::PARAM_INT);  
    $age = 30;  
  
    // 执行查询并获取结果集  
    $stmt->execute();  
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);  
  
    // 处理结果集  
    foreach ($results as $row) {  
        echo $row['name'] . "\n";  
    }  
} catch (PDOException $e) {  
    echo "Error: " . $e->getMessage();  
}  
?>

JAVA

在Java中,JDBC(Java Database Connectivity)提供了预编译语句(PreparedStatement)的功能。PreparedStatement是Statement的一个子接口,它代表了一条预编译的SQL语句。使用PreparedStatement可以显著提高数据库操作的性能,并防止SQL注入攻击。

import java.sql.Connection;  
import java.sql.DriverManager;  
import java.sql.PreparedStatement;  
import java.sql.ResultSet;  
  
public class PrecompiledExample {  
    public static void main(String[] args) {  
        try {  
            // 创建数据库连接  
            Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/database_name", "username", "password");  
  
            // 创建预编译语句  
            String sql = "SELECT * FROM employees WHERE age > ?";  
            PreparedStatement preparedStatement = connection.prepareStatement(sql);  
  
            // 设置参数值  
            preparedStatement.setInt(1, 30);  
  
            // 执行查询并获取结果集  
            ResultSet resultSet = preparedStatement.executeQuery();  
  
            // 处理结果集  
            while (resultSet.next()) {  
                // 处理每一行数据  
                System.out.println(resultSet.getString("name"));  
            }  
  
            // 关闭资源  
            resultSet.close();  
            preparedStatement.close();  
            connection.close();  
        } catch (Exception e) {  
            e.printStackTrace();  
        }  
    }  
}

Python

在Python中,常见的数据库操作库如MySQL Connector/Python提供了预编译功能。这通常通过prepare()方法实现,该方法会解析和优化SQL语句,并将其保存在数据库中以供后续使用。

import mysql.connector  
  
# 创建数据库连接  
cnx = mysql.connector.connect(user='username', password='password', host='localhost', database='database_name')  
  
# 创建游标对象  
cursor = cnx.cursor()  
  
# 预编译SQL语句  
stmt = cursor.prepare("SELECT * FROM employees WHERE age > %s")  
  
# 执行预编译的SQL语句,并传入参数  
stmt.execute((30,))  
  
# 获取查询结果  
results = stmt.fetchall()  
  
# 输出查询结果  
for row in results:  
    print(row)  
  
# 关闭游标和连接  
cursor.close()  
cnx.close()

预编译的安全性

预编译可以有效防止sq注入,主要原理是将sql语句预先编译一次,用户无论输入什么都只会被当成参数执行,而不会将sql语句闭合,构造新的sql语句攻击

例外

预编译不能完全防止sql注入攻击,追究其根本原因是有些地方的sql语句无法被参数化,就算预编译后,仍存在能被闭合的地方。参考一下微信这位作者的文章。
预编译真的能完美防御SQL注入吗?
看完作者的描述,我们知道了无法被参数化的地方只有几种

  1. 表名、列名
  2. order by、group by
  3. limit
  4. join

探讨一下这些地方为什么不能被参数化,这里在网上冲浪的时候读到了另外一片作者的文章,可以很好的解释一下为什么这些地方不能被参数化。
PDO预编译与sql注入
在作者的文章中可以看出,例如order by语句中,预编译会自动给你追加引号,把你的输入给参数化。而order by这条语句如果把参数自动追加引号的话就会造成语法错误,查询出错。所以这个地方无法被预编译,或者说是假预编译。
作者在文章中有一句话说的很好:没有参数绑定的预编译等于没有预编译。

(题外话)为啥预编译会出现这种例外呢?

开发之初预编译可能就不是让你用作保护数据库安全的一种手段,更多的,预编译是一种减少数据库查询时间,减少语法树构成的一种方法。顺带的只是我们认为预编译通过把sql语句参数化执行可以有效的防止sql注入,所以才把预编译拿上来说。

穿鞋子泡脚
关注
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6279
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
SQL注入解决方案思考
qq_37375667的博客
12-24 392
这种方案相当普遍,简单来说就是使用#{}进行参数传递。这是我们日常应该写的SQL方式。
关于sql注入你不得不知道的那些事
qq_42551635的博客
08-27 961
关于SQL注入你不得不知道的那些事 任务目标:通过手动注入尝试,了解注入的整个过程 任务要求: 1、手工测试之前搭建的不同注入环境,并记录 sql 语句,最终以获取 mysql 中的用户信息和当前表的信息为目标 2、思考通过注入漏洞可以做什么? 3、思考注入漏洞如何防御?代码、服务器等角度 扩展学习: 1、针对不同的注入漏洞,编写防御代码,具体如何防御自己决定(相关代码均记录在报告中) 2、测试自己的防御代码是否可以绕过,并将过程进行记录 前言:什么是sql 注入 在Web应用的开发过程中,为了快.
漏洞挖掘SQL 注入挖掘
m0_60571990的博客
11-08 982
漏洞挖掘SQL 注入挖掘
SQL注入的五种方法
snow_love_xia的博客
04-01 7226
防止SQL注入一、SQL注入简介    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可...
sql注入的N种方式
阿星的博客
06-22 4901
1. 介绍了sql注入的union注入、条件注入、堆叠注入、报错注入、时间盲注等方法以及如何进行防御。 2. 介绍了Burp Suite的简单使用
MySQL预编译binlog_探究mysql预编译
weixin_29274969的博客
02-03 98
一.背景:用Mybatis+mysql的架构做开发,大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,举例如下:Xml代码select*fromblogwhereid=#{id}查看日志后,会发现这个sql执行时被记录如下:Sql代码select*fromblogwhereid=?之前上网查过一些资料,大致知道mybatis底层使用Prepared...
利用mysql预编译机制_2019.06.14-学习如何进行SQL注入攻击
weixin_39700220的博客
01-18 96
如何进行SQL注入攻击?以php编程语言、mysql数据库为例,介绍一下SQL注入攻击的构造技巧、构造方法1.数字注入在浏览器地址栏输入:learn.me/sql/article.php?id=1,这是一个get型接口,发送这个请求相当于调用一个查询语句:$sql = "SELECT * FROM article WHERE id =",$id正常情况下,应该返回一个id=1的文章信息。那么,如果...
mysql预编译是谁提供的_mysql预编译
weixin_35503004的博客
01-19 213
一.背景:用Mybatis+mysql的架构做开发,大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,举例如下:Xml代码select*fromblogwhereid=#{id}查看日志后,会发现这个sql执行时被记录如下:Sql代码select*fromblogwhereid=?之前上网查过一些资料,大致知道mybatis底层使用Pre...
sql注入软件HDSI源代码[pas]
12-12
7. **安全性最佳实践**:通过对比HDSI的攻击方法,开发者可以学习如何在自己的应用程序中避免SQL注入,比如使用参数化查询、预编译语句、输入验证和限制用户权限等。 8. **逆向工程和安全审计**:分析HDSI源码也...
理论篇8:SQL注入(字符型注入和数字型注入)
aiojay的博客
05-02 3694
SQL注入(字符型注入和数字型注入),Mysql中 int(3) 类型的含义,判断MYSQL注入闭合方式:
Havij SQL注入工具与后门注入的探讨
SQL注入攻击概述 SQL注入攻击是一种常见且危害巨大的网络安全攻击方式,通过利用未经过滤的用户输入,在数据库查询语句中注入恶意SQL代码,从而使数据库执行恶意操作或获取敏感信息。下面将对SQL注入攻击进行更...
PostgreSQL 创建账号与数据库:从连接到权限配置的完整指南
敲代码别忘了喝上一杯凉白开。
10-04 730
本文详细讲解了如何在 PostgreSQL 数据库中创建账号和数据库,并为该账号配置相关权限的完整过程。通过使用 psql 连接数据库,创建用户和数据库,以及授予数据库访问权限,用户可以轻松完成 PostgreSQL 的账号和数据库管理。文章还介绍了如何使用新账号登录数据库并运行 SQL 文件进行数据操作,提供了从连接、创建、授权到执行 SQL 的一站式操作指南,适用于数据库初学者和管理员。
PostgreSQL的WAL日志优化及验证
Java_fenxiang的博客
10-05 842
在应用负载不变的情况下可以通过如下方法进行WAL优化登录后复制 1) 延长checkpoint时间间隔 FPI产生于checkpoint之后第一次变脏的page,在下次checkpoint到来之前,已经输出过FPI的page是不在需要再次输出FPI。因此checkpoint时间间隔越长,FPI产生的频度会越低。增大ch...
Pikachu-Sql-Inject -基于boolian的盲注
guanrongl的专栏
10-03 770
布尔型盲注入用到得SQL 语句select if(1=1,1,0) if()函数在mysql 是判断,第一个参数表达式,如果条件成立,会显示1,否则显示0。从前面已经知道有个用户 为 vince ,如果长度判断正确,回返回vince 这个用户,错误则显示不存在;if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0。2、不管是正确的输入,还是错误的输入,都只显示两种情况,true or false;第一个 1 ,代表查第一张表,第二个1,1 代表查第一个字母;
SQL进阶技巧:如何优雅求解指标累计去重问题?
石榴姐yyds
10-02 923
本文给出了计算指标按照日期字段进行累计去重的优雅解法,文中采用了2种解法,一种借助于分析函数作为辅助变量生成状态标记求解,一种利用自关联生成全量数据进行行行比较求解,两种方式都非常巧妙。
SQL 注入防护+Web 应用防火墙》
最新发布
jiyiwangluokeji的博客
10-06 649
这只是一些基本的配置示例,实际的配置需要根据您的服务器架构、应用类型和具体需求进行调整和优化。Web 应用防火墙(以 ModSecurity 为例)输入验证(以 Python 的 Flask 框架为例)// 假设从用户获取的输入为 $userInput。SQL 注入防护(以 MySQL 数据库为例)# 只允许字母、数字和空格。// 使用参数化查询。
SQL自学:什么是SQL的聚集函数,如何利用它们汇总表的数据
Nervousr的博客
10-03 1141
SQL(Structured Query Language,结构化查询语言)中,聚集函数也称为聚合函数,是对一组值进行计算并返回单一值的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值