直面--SQL注入式攻击

最新推荐文章于 2024-04-15 17:31:48 发布
最新推荐文章于 2024-04-15 17:31:48 发布
阅读量1k 收藏
点赞数
分类专栏: 数据库 文章标签: sql 正则表达式 数据库 user 平台 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunliduan/article/details/8043779
版权

          SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

    这是百度百科的解释,怎么样,晕了没有?不过没有关系,我试试看,能不能把大家讲醒了.

    顾名思义:SQL注入式攻击,肯定是SQL语句的事了.所以,先来看一个SQL语句:

        Select *from Tabel1 Where User_Name='" & txtUser_Name.text &"'

    这是一句大家经常用到的SQL语句,可能有人会想,这么简单的一句话,会有什么问题呢?不要着急,且听我细细说来.

    

    你的本意是想让某些具有相应权限的人操作程序,他们都会知道登录的用户名,借此验证.可是,你有没有想过,如果我在txtUser_Name输入框中输入  " " &" ' or'" & "1=1"

    看,原本的SQL语句:

         Select *from Tabel1 Where User_Name='" & txtUser_Name.text &"'

    

   现在变成了:

        Select *from Tabel1 Where User_Name='" & "  " &" ' or '" &"1=1"  &"'  


    这时,相信明眼人都看出来了,后部分的或命题: or 1=1 是必然成立的,所以,登录程序成功了!

    没错,这就是SQL注入式攻击.攻击者尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

    说到这里,大家有没有中豁然开朗的感觉---原来,黑客,就是这样练成的

    那么,既然SQL注入有这么大的危害,我们该如何防止SQL注入呢?

    

   简单的介绍这几种方法,用户可自行选择.

  1.永远不要信任用户的输入。对用户的输入进行校验,可以通过 正则表达式,或限制长度;对单引号和 双"-"进行转换等。
  2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
  6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等.

     

    直面--SQL注入式攻击,让你的程序更安全,让用户使用的更放心!

sld0609
关注
专栏目录
web安全专题(1)注入攻击
微生活Pro
07-02 3640
1、非对称加密算法:RSA,DSA/DSS 2、对称加密算法:AES,RC4,3DES 3、HASH算法:MD5,SHA1,SHA256
注入攻击
weixin_51051051的博客
10-14 3362
注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS。 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方来执行恶意数据。这种类别的攻击包括跨站脚本攻击(XSS)、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅,这里只是一个简单的介绍。 这类攻击是每个程序员的梦魇。它们数量庞大、攻
网站安全之注入攻击
l664938026的博客
01-06 4559
注入攻击主要有两种形sql注入攻击和os注入攻击
asp.net防SQL注入的安全措施
feiyang431的专栏
05-30 1353
 一、什么是SQL注入攻击?        所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击。常见的SQL注入攻击过程类如:        ⑴ 某个ASP.NET Web应用有一个登录页面,
腾讯EdgeOne产品测评体验——多重攻击实战验证安全壁垒:DDoS攻击|CC压测|Web漏洞扫描|SQL注入
最新发布
定期分享我的发现和想法,感谢你的陪伴和支持
04-15 2万+
边缘安全加速平台 EO 官方文档边缘安全加速平台 EdgeOne (Tencent Cloud EdgeOne) 结合腾讯强大的边缘计算技术,致力于优化用户体验。加速:EdgeOne通过部署近用户的边缘节点,有效减少数据访问延迟,同时提供动静态内容加速、跨国加速和智能路由优化等功能,以保障数据传输的高效与稳定。安全:EdgeOne提供WAF和DDoS防护等服务,利用智能AI和策略引擎阻断各类攻击,确保业务流畅稳定。《亚太第一!
spring cloud--微服务
Ysuhang的博客
08-22 6306
微服务架构,简单的说就是将单体应用进一步拆分,拆分成更小的服务,每个服务都是一个可以独立运行的项目。Spring Cloud Alibaba 致力于提供微服务开发的一站解决方案。此项目包含开发分布应用微服务的必需组件,方便开发者通过 Spring Cloud 编程模型轻松使用这些组件来开发分布应用服务。依托 Spring Cloud Alibaba,您只需要添加一些注解和少量配置,就可以将 Spring Cloud 应用接入阿里微服务解决方案,通过阿里中间件来迅速搭建分布应用系统。
2021-01-13
qiye_zhou的博客
01-13 215
一、面试题基础总结 1、JVM结构原理、GC工作机制详解 答:具体参照:JVM结构、GC工作机制详解 ,说到GC,记住两点:1、GC是负责回收所有无任何引用对象的内存空间。 注意:垃圾回收回收的是无任何引用的对象占据的内存空间而不是对象本身,2、GC回收机制的两种算法,a、引用计数法 b、可达性分析算法(这里的可达性,大家可以看基础2 Java对象的什么周期),至于更详细的GC算法介绍,大家可以参考:Java GC机制算法 2、Java对象的生命周期 答:创建阶段 、 应用阶段 、不...
Java 高级工程师面试题总结-参考答案(已拿Offer)
m0_68850571的博客
04-22 1万+
一、面试题基础总结 1、 JVM 结构原理、GC 工作机制详解 答:具体参照:JVM 结构、GC 工作机制详解 ,说到 GC,记住两点:1、GC 是负责回收所有无任何引用对象的内存空间。 注意:垃圾回收回收的是无任何引用的对象占据的内存空间而不是对象本身,2、GC 回收机制的两种算法,a、引用计数法 b、可达性分析算法( 这里的可达性,大家可以看基础 2 Java 对象的什么周期),至于更详细的 GC 算法介绍,大家可以参考:Java GC 机制算法 2、Java 对象的生命周期 答:创建阶段 、...
SpringCloud-1-基础组件(Eureka,Ribbon,Consul)
m0_60875109的博客
07-27 434
SOA全称为Service-OrientedArchitecture,即面向服务的架构。 CAP原理,C:一致性、A可用性,P分区容忍性。 注册中心:Eureka 负载均衡:Ribbon 注册中心替换版本:consul
Android高性能编码 - 第八篇 移动端安全规范
BlueYangDroid的专栏
05-06 1421
第八篇安全Android内建的安全机制可以显著地减少了应用程序的安全问题。通过在默认的系统设置和文件权限设置的环境下建立应用,可避免为一系列的安全问题寻找解决方案。一些帮助建立应用的核心安全的特性如下:l  Android应用程序沙盒,将应用数据和代码的执行与其他程序隔离。l  具有鲁棒性的常见安全功能的应用框架,例如加密,权限控制,安全IPCl  使用改进的虚拟机等技术,减少了常见内存管理错误。...
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4697
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
淘宝面试常见问题的答案来了,你看了吗?(一面及答案)
mzl_sx的博客
10-15 1404
1、redis sds优缺点、扩容收缩、扩容因子 SDS (简单动态字符串)是什么 其实,SDS 是 Redis 中实现的一种数据结构,主要用来存储字符串。 1、那 SDS 与 C 字符串相比有什么优势呢? 1.1、常数复杂度获取字符串长度 常规 C 字符串并不记录自身的长度信息,所以为了获取一个 C 字符串的长度,程序必须遍历整个字符串,对遇到的每个字符进行计数,到遇到代表字符串结尾的空字符为止,这个操作的复杂度为 O(N)。 而 SDS 使用结构体实现,结构体中的 len 属性接记录
DataGridView显示数据
孙端
08-14 8804
使用 DataGridView控件,可以显示和编辑来自多种不同类型的数据源的表格数据。     到此,我用到了以下不同的两种方法。个人感觉,方法一:适合对三层以及代码熟悉度高的程序员;方法二:则更为适合我们现在初步接触三层,正在学习的未来程序员。当然了,这两种方法都是要会的,不同的阶段或者情景选择不同的方法,才是最合适的。     方法一:DataGridView绑定数据源
VS2010添加配置文件
孙端
07-20 8544
也许初学者会疑惑,我们D层接使用数据库连接字符串很简单的就可以实现连接数据库,为什么还要用配置文件来连接数据库呢?原因就是:在配置文件中的信息相当于全局变量,如果有修改只要改动配置文件的键值就可达到全局修改的效果,无需编译,修改起来更为便捷.      下面是添加配置文件连接数据库的基本步骤:       1.首先需要添加新项---"应用程序配置文件",如图:        2.
学生信息管理系统--需求分析
孙端
08-13 8077
所谓"需求分析",是指对要解决的问题进行详细的分析,弄清楚问题的要求,包括需要输入什么数据,要得到什么结果,最后应输出什么。                                可以说,在软件工程当中的“需求分析”就是确定要计算机“做什么”。        就我理解,需求分析阶段的最主要的任务就是确定软件系统功能。        下面呢,就是我做的关于”学生管理系统”的简单需
ADO 和ADO.NET数据访问功能的区别
孙端
06-30 2958
对于任何人来说,在学习之初,我们感觉困难的不是新知识的学习,而是新知识和旧知识极类似的部分。这样,会让我们感觉迷茫,极大的混淆了我们已有的知识经验,对此我们会感到恐慌,所以,对于新旧知识的区别学习,是米老师一强调的,也是我们迫切不要学习的。         现在要说关键了,ADO我们在一年前已经有所接触了,一年后,霎间ADO.NET,慌了,这是什么呢?和ADO有什么区别呢?为什么ADO还在正常
VB打包发布--不带源代码
孙端
10-09 2219
在提高班算起来,做了三个系统了,一个是今年5月份作品展时的灵机妙算,一个是今年暑假的学生信息管理系统,再一个就是刚刚完工的这个机房收费系统了。      三个系统,三次打包发布,三次赠送源代码。不知道你的有没有呢?      不过好在,有了这个意识,什么都好办了,上网查,很快就找到了解决的办法。      我是用的Setup Factory 7.0打包,创建工程完成后,会出现如下界面
阶段会议记录总结
孙端
08-10 1828
以会议记录的方来表现这阶段总结,希望更详细易懂一些。 参会者:贾琳,刘艳玲,王永俊,于亮,高迎,孙丽端。 会议内容:        一、上阶段验收        两位师傅对我们四人的相关学习资料,例如:视频笔记,总结导图以及博客等,分别进行了检查,并提出了相应的意见和建议。 下面就以我为例,先行解说吧。。。       (1)视频笔记     在上一篇博客中已经
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值