SQL注入和预防措施

最新推荐文章于 2023-10-10 18:56:45 发布
最新推荐文章于 2023-10-10 18:56:45 发布
阅读量806 收藏 1
点赞数
分类专栏: 数据库 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swl1993831/article/details/78042066
版权
在编写代码的时候,很多情况下没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数
据,这就是所谓的SQL Injection,即SQL注入。如:
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 
恶意填入
userName = "1' OR '1'='1";

passWord = "1' OR '1'='1";
时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"
因此达到无账号密码,亦可登录网站。


防护措施:
(1)使用preparedStatement,preparedStatement采用了预编译的方式,传过来的参数只会作为普通的字符串来处理,不再对SQL语句进行解析,解析的过程已经在
String sql = "select id, username, password from users where id=?";
PreparedStatement ps = this.conn.prepareStatement(sql);
的过程中完成,现在要做的只是把输入作为一个简单的串来处理
(2)使用正则表达式,这种方式需要引入java.util.regex.* ,使用正则表达式来判断输入是否符合规范
(3)在jsp页面编写js函数,判断输入是否含有不安全字符
酒剑随马@
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击原理分析及JavaWeb环境下的防范措施.pdf
07-23
网络的广泛应用给社会带来极大便捷,网络安全特别是SQL 注入也成为了一个倍受关注的问题。与此同时,Java Web 由于其平台无关性、“一次编写、随处运行”,使得越来越多的程序员加入到Java 当中。本文在分析了SQL 注入原理的基础上,提出了几点Java Web 环境下防范措施。   随着Ineternet 技术的迅猛发展,为了能更充分地使用互联网这个世界上最大的交流平台,许多单位或个人纷纷建立自己的网站。但是网络为企业提供了新的机遇,但是同时它也给安全、性能等领域带来了新的风险。而SQL 注入就是众多风险中较为常见的一种。   SQL 注入是从正常的WWW 端口访问,而且表面看起来跟一般的Web 页面访问没什么区别,所以目前市面的防火墙都不会对SQL 注入发出警报,如果管理员没查看日志的习惯,可能被入侵很长时间都不会发觉。   其实SQL 注入主要还是一些程序员的水平及经验参差不齐,没有对用户输入数据的合法性进行判断。使应用程序存在安全隐患,任何用户可以提交一段数据库查询代码,并根据程序返回的结果,获得某些他想得知的数据,造成用户可以在输入中包含恶意代码篡改程序功能。更严重的用户还可能窃取最高管理权限,删除数据库中所有的数据。
sql注入原理
LVXIANGAN的专栏
05-27 1335
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
简单的sql注入及预防
less_cold的博客
09-18 444
sql注入就是通过表单或者url来像服务器中插入sql语句,从而达到自己的目的,获取数据,修改数据。 例如输入' or 1='1;这样就使搜索的条件语句变成了一定成立的。 用sql注入就可以实现登录之类的。但是像我对密码用了md5加密,这样对密码的简单sql注入就失去了效果。 像这样只获得了读取的功能,并不是很有用。我们就想要获取数据表名,从而实现增删改的功能。 通过例如' or
SQL注入攻击的原理及其防范措施
wangmj518的专栏
12-10 646
ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP
SQL注入的防范措施
热门推荐
qq_35420342的博客
05-20 1万+
通过正则表达校验用户输入首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符。然后继续校验输入数据中是否包含SQL语句的保留字,如:WHERE,EXEC,DROP等。现在让我们编写正则表达式来校验用户的输入吧,正则表达式定义如下:private static readonly Regex RegSystemThreats = new Regex(@"...
初探PHP的SQL注入攻击的技术实现以及预防措施
02-26
有部份人认为SQL注入攻击是只针对MicrosoftSQLServer而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。在应用程序中若有下列状况,则可能应用程序正暴露在SQLInjection的高风险情况下:...
基于PHP的web应用中的SQL注入及防御措施.pdf
09-19
在本文中,我们首先介绍了SQL注入攻击的定义和类型,然后讨论了SQL注入攻击的危害和防御措施。在防御措施方面,我们讨论了使用PHP的预处理语句、参数化查询、输入验证和错误处理等方法来防止SQL注入攻击。 此外,...
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
防御SQL注入的方法总结
09-10
防御SQL注入是保护网站和应用程序免受此类攻击的关键步骤。 1. SQL注入的基本原理: SQL注入攻击通常是由于应用程序未能正确验证和过滤用户输入的数据,直接将这些数据拼接到SQL查询语句中导致的。例如,一个简单的...
SQL注入攻击与防范措施.pdf
09-19
SQL注入攻击与防范措施.pdf
SQL注入式攻击方式及防范措施
hysfwjr的专栏
06-23 1685
SQL注入式攻击方式及防范措施 转载于 http://hi.baidu.com/xjzxjym/item/8efed742124798ad60d7b916 谨以此文献给那些网站受害者。。。。。 下面讲讲,如何网页挂马,假如你的大名和形象照出现在哪个人的网站,进行人身攻击,下面就用到了。 1. 概述 网页挂马这个话题想来大家并不陌生。为什么有这么多的网页上存在着木马去攻击普通用
SQL注入漏洞入侵的过程及其防范措施
zgqtxwd的专栏
04-30 709
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
sqli漏洞常见防范措施
qq_42764906的博客
04-09 422
web应用防火墙 web 云端
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2654
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1333
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4027
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译,预编译语句就是将这类
Java项目防止SQL注入的四种方案
最新发布
学IT,找陈寒
10-10 8963
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
sql注入攻击与防护
weixin_42374938的博客
08-07 362
非法用户提交特殊的数据,使得服务器动态脚本构造了对系统有害的sql语句,进而实现了对web系统的攻击,例如数据泄露、非法提权等,这种过程就叫做sql注入
SQL注入攻击技术和防御
06-09
SQL注入攻击是指攻击者利用Web应用程序存在的漏洞,向应用程序的后台数据库中插入恶意SQL语句,从而达到控制数据库、获取敏感信息的目的。 SQL注入攻击的技术手段主要包括以下几种: 1. 基于错误的注入攻击:攻击者通过构造恶意SQL语句,使应用程序在执行SQL语句时产生错误,从而获取错误信息、数据库结构等敏感信息。 2. 基于盲注的注入攻击:攻击者通过构造恶意SQL语句,使应用程序在执行SQL语句时不产生错误,但是应用程序的响应结果会发生变化,从而获取敏感信息。 3. 基于时间的注入攻击:攻击者通过构造恶意SQL语句,使应用程序在执行SQL语句时延迟一段时间再响应请求,从而获取敏感信息。 为了防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询:将用户输入的参数值作为参数传递给SQL语句,而不是直接将参数值拼接到SQL语句中。 2. 对用户输入进行过滤:对用户输入的数据进行验证、过滤,去掉特殊字符、注释符等敏感信息。 3. 设置权限控制:对数据库的访问权限进行细化控制,只允许授权的用户进行操作。 4. 定期更新应用程序和数据库:及时修补漏洞,更新数据库软件和应用程序,以避免被攻击者利用已知漏洞实施攻击。 5. 使用WAF(Web应用程序防火墙):WAF可以对Web应用程序的流量进行监控和过滤,识别和拦截恶意请求,从而有效防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值