Mysql使用SQL的安全问题,Mysql防止SQL注入

最新推荐文章于 2024-06-10 14:46:40 发布
最新推荐文章于 2024-06-10 14:46:40 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/softn/article/details/51577451
版权

SQL注入简述

SQL Injection攻击具有很大的危害,攻击者可以利用它读取、修改或者删除数据库内的数据,获取数据库中的用户名和密码等敏感信息,甚至可以 获得数据库管理员的权限。如果能够再利用SQLServer扩展存储过程和自定义扩展存储过程来执行一些系统命令,攻击者还可以获得该系统的控制权。而且,SQL Injection 也很难防范。网站管理员无法通过安装系统补丁或者进行简单的安全配置进行自我保护,一般的防火墙也无法拦截SQL Injection 攻击。

SQL Injection 原理:
结构化查询语言(SQL)是一种用来和数据库交互的文本语言。SQL Injection 就是利 用某些数据库的外部接口把用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入 的数据没有进行严格的过滤,导致非法数据库查询语句的执行。

如下面的用户登陆验证程序:
    $sql = "SELECT * FROM user WHERE username='$username' AND password='$password'";
    $result = mysql_db_query($dbname, $sql);
如果我们提交如下url:
    http://127.0.0.1/injection/user.php?username=angel' or '1=1
那么就可以成功登陆系统,但是很显然这并不是我们预期的,同样我们也可以利用sql的注释语句实现sql注入,如下面的例子:
    http://127.0.0.1/injection/user.php?username=angel'/*
    http://127.0.0.1/injection/user.php?username=angel'%23
这样就把后面的语句给注释掉了!说说这两种提交的不同之处,我们提交的第一句是利用逻辑运算,第二、三句是根据mysql的特性,mysql支持/*和#两种注释格式,所以我们提交的时候是把后面的代码注释掉,值得注意的是由于编码问题,在IE地址栏里提交#会变成空的,所以我们在地址栏提交的时候,应该提交%23,才会变成#,就成功注释了, 这个比逻辑运算简单得多了。

开发中可以采取的措施

1) prepareStatement + Bind-variable
对Java和Jsp 开发的应用,可以使用  prepareStatement + Bind-variable 来防止sql注入,另外从PHP 5开始,也在扩展的mysqli中支持prepared statements,所以在使用这类语言作数据库开发时,强烈建议使用prepareStatement + Bind-variable 来实现,而尽量不要使用拼接的sql。

2) 使用应用程序提供的转换函数
很多应用程序接口都提供了对特殊的字符进行转换的函数,恰当的使用这些函数,可以防止应用程序用户输入使应用程序生成不期望的效果的语句的数值。
  • MySQL C API:使用mysql_real_escape_string() API调用。
  • MySQL++:使用escape和quote 修饰符。
  • PHP:使用mysql_real_escape_string()函数(适用于PHP 4.3.0,之前的版本请使用mysql_escape_string(), PHP 4.0.3之前的版本请使用addslashes())。从PHP 5开始,可以使用扩展的mysqli,这是对MYSQL新特性的一个扩展支持,其中的一个优点就是支持prepared statements。
  • Perl DBI    :使用placeholders或者quote()方法。
  • Ruby DBI    :使用placeholders或者quote()方法。
  • Java JDBC   :使用PreparedStatement和 placeholders。

3) 自己定义函数进行校验
如果现有的转换函数仍然不能满足要求,则需要自己编写函数进行输入校验。输入验证是一个很复杂的问题。输入验证的途径可以分为以下几种:
  • 整理数据使之变得有效;
  • 拒绝已知的非法输入;
  • 只接受已知的合法的输入。

所以如果想要获得最好的安全状态,目前最好的解决办法就是对用户提交或者可能改变的数据进行简单分类,分别应用正则表达式来对用户提供的输入数据进行严格的检测和验证。
seven-soft
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mysql like 防注入_mybatis模糊查询防止SQL注入
weixin_39946429的博客
01-27 575
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可...
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
mysql防止SQL注入
星空中的一颗星
07-12 180
mysql常用取值方式#{} ${} 第一种方式,通过JDBC preparedstatement 会设置参数 parameter ?的形式 ?会替换为字符串所以不会出现注入 select * from where i = #{var} var = 1;drop database; select * from where i = “1;drop database;” 第二种方式,直接替换,可能出现的问题是,select * from where i = ${var} var = 1;drop databas
Mysql优化安全防止sql注入
weixin_44823875的博客
05-20 6113
Mysql安全防止sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)防范sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
MySql八股文知识点总结,一篇文章让mysql成为面试加分项
最新发布
qq_45477639的博客
06-10 975
MySql八股文知识点总结,一篇文章让mysql成为面试加分项
Mysql模糊查询防止sql注入
过去过去,未来未来,当下永恒!
09-23 1100
使用concat配合escape 防止sql注入 escape意思就是说/之后的_不作为通配符 <if test="params.jobName != null and params.jobName !='' and params.jobName !='空'.toString()"> and r1.jobName like CONCAT('%',#{params.jobName},'%') escape '#' </if> ...
mysql prepare 防注入_mysql-preparestatement防止sql注入
weixin_31088605的博客
01-19 468
项目中--遇到类似问题。一、什么是sql注入?先举个栗子:用户登录SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'可以看到注入后可以免密码登录...
PHP+mysql防止SQL注入的方法小结
10-17
主要介绍了PHP+mysql防止SQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
MySQLSQL 注入
12-16
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到...
PHP+MysqlSQL注入源码 下载
04-25
【PHP+MySQLSQL注入】 在互联网开发中,PHP与MySQL是常见的组合,用于构建动态网站和...在日常开发中,应始终遵循最佳实践,使用预处理语句,限制数据库用户的权限,并定期进行安全性审计,以防止SQL注入等攻击。
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 855
mybatis模糊查询防止sql注入
mysql 存储过程 sql注入_存储过程是否可以防止SQL注入
weixin_34198817的博客
02-27 2855
存储过程并不能神奇地阻止SQL注入,但是它们确实使防止注入变得容易得多。您所要做的只是类似以下内容(Postgres示例):CREATEORREPLACEFUNCTIONmy_func(INin_user_id INT)[snip]SELECTuser_id,name,addressFROMmy_tableWHEREuser_id=in_user_id;--BAM! SQL INJECTION I...
mysql防注入函数
chenxi853的专栏
03-13 608
function post_check($post) { mysql_real_escape_string($post); if(!get_quotes_gpc()) { $post = addslashes($post); } $post = str_replace('_', '\_', $post); $post = str_replace('%', '\%
MySQL防止SQL注入
热门推荐
agoago_2009的专栏
07-16 1万+
SQL注入实例: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");当的内容
mysql登陆防注入_MysqlSQL注入
weixin_39966602的博客
02-06 141
SQL注入SQL注入是一种常见的Web安全漏洞,虽然数据库经过了长年的发展已经有了较为完备的防注入能力,但由于开发人员的疏忽大意而产生SQL注入的情况依然常见。什么是SQL注入本文不多做说明,简单说就是利用客户端的输入参数来影响后台对SQL语句的组装。比如常见的用户登录界面,需要用户输入用户名username和密码password,客户端将这两个字段传到后台后,后台组装SQL语句来判断用户输入的用...
mysql防止注入方案_如何防止SQL注入SQL注入解决方案
weixin_42102272的博客
01-19 420
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可能发生SQL注入安全问题,那么,如何防止SQL注入呢?针对SQL注入安全问题的预防,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,符合条件的可以写入数据...
net如何防止mysql注入_C#和MySQL .NET连接器-有什么方法可以防止泛型类中的SQL注入攻击?...
weixin_34323587的博客
02-11 197
我的想法是通过C#(3.5)Winforms应用程序通过MySQL .NET Connector6.2.2与MySQL数据库创建一些通用类,以用于Insert / Update / Select。例如:public void Insert(string strSQL){if (this.OpenConnection() == true){MySqlCommand cmd = new MySqlCo...
net如何防止mysql注入,防止SQL注入的ASP.NET方法实例解析
weixin_33470084的博客
03-24 167
最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。1、新建Global.asax文件。2、加入如下代码:void Application_BeginRequest(object sender, EventArgs e){bool result = false;if (Request.RequestType.ToUppe...
asp.net防止mysql_ASP.NET 之 防SQL注入
weixin_29045001的博客
03-05 336
1. 什么是SQL注入所谓SQL注入,就是通过把SQL命令插入到表单窗体递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行一些恶意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。2. SQL注入的种类从具体而言,SQL注入可分为五大类,分别是:数字型注入、字符型注入、搜索型注入(like)、in型的注入、句语连接型注入。从应用来说,要特别注意IP、搜索、批量删除、...
mysql如何防止sql注入
08-22
MySQL可以通过以下几种方法来防止SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证和过滤:对于用户输入的数据,进行必要的验证和过滤,确保输入符合预期的数据格式和类型。可以使用正则表达式、白名单过滤等方法来实现。 3. 使用编码函数和转义字符:对于需要将用户输入作为字符串插入到SQL语句中的情况,可以使用编码函数(如PHP中的`mysqli_real_escape_string`)或转义字符(如将单引号转义为两个单引号)对特殊字符进行转义,从而避免被误认为SQL语句的一部分。 4. 最小权限原则:为了减少攻击者利用SQL注入攻击获取敏感数据的风险,应该在MySQL使用最小权限原则。即为每个应用程序或用户提供所需的最低权限,限制其对数据库的操作范围。 5. 定期更新和维护:及时更新MySQL数据库和相关软件的补丁和升级版本,以修复已知的安全漏洞,并定期审查和维护数据库权限及用户访问控制机制。 除了以上方法,还可以使用Web应用防火墙(WAF)或其他网络安全设备来监控和拦截可能的SQL注入攻击。综合采用多种防护措施可以提高数据库的安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值