SQL注入攻击的总体思路
1、寻找到SQL注入的位置
2、判断服务器类型和后台数据库类型
3、针对不通的服务器和数据库特点进行SQL注入攻击
SQL注入攻击实例
比如在一个登录界面,要求输入用户名和密码:
可以这样输入实现免帐号登录:
用户名: ‘or 1 =. 2–
密 码:点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)
这是为什么呢? 下面我们分析一下:
从理论上说,后台认证程序中会有如下的SQL语句:
1 String sql = “select * from user where username=’ “+userName+” ’ and password=’ “+password+” '”;
当输入了上面的用户名和密码,上面的SQL语句变成:
1 SELECT * FROM user WHERE username=’’ ‘or 1 =. 2– – and password=’’ "
分析SQL语句:
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;
然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份
应对方法
下面我说一下应对方法:
1.(简单又有效的方法)PreparedStatement
采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
使用好处:
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
原理:
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
$sql="SELECT * FROM
userWHERE user=? and pwd=?"; if($stmt = $conn->prepare($sql)){ $stmt ->bind_param("ss",$user,$pwd); //ss为两个字符串,double用d表示,int用i表示 $stmt ->execute();//执行预处理 $stmt ->store_result();//获取结果集 if($stmt->num_rows == 0){ show_error('输入的用户名或密码错误','register.html'); } $stmt->close(); } $conn ->close();
2对数据进行简单处理
$user=htmlspecialchars(addslashes(trim($user))); $pwd=htmlspecialchars(addslashes(trim($pwd)));
//再来构建sql语句
$sql="SELECT * FROM
userwhere user='$user' and pwd='$pwd' "; //第一种方法 $res = $conn->query($sql); if($res->num_rows == 0){ show_error('输入的用户名或密码错误!','register.html'); }
这样就不会给非法用户可乘之机了。
以上就是防止sql注入的方法。