防止sql注入的一个方法

最新推荐文章于 2020-10-27 09:47:25 发布
最新推荐文章于 2020-10-27 09:47:25 发布
阅读量573 收藏
点赞数
分类专栏: 安全相关 文章标签: sql insert delete 防火墙 string 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianping168/article/details/2476583
版权

先介绍一下什么是sql注入,下面是我网上找的定义:

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

现在知道概念了,来看看怎么预防吧,这是关键,呵呵。

防止sql注入的一个简单方法就是过滤字符串,把和sql相关的字符串和一些特殊字符过滤掉就OK了。

下面是常用的字符串:

 

String[] SQL_indata  = { " : " , " ; " , " > " , " < " , " -- " , " sp_ " , " xp_ " , " / " , " dir " , " cmd " , " ^ " , " ( " , " ) " , " + " , " $ " , " ' " , " copy " , " format " , " and " , " exec " , " insert " , " select " , " delete " , " update " , " count " , " * " , " % " , " chr " , " mid " , " master " , " truncate " , " char " , " declare " }; 
tianping168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web入门 SQL注入 表单含义
Bald__girl的博客
11-26 432
一、表单: 主要负责数据采集,由表单标签、表单域、表单按钮三部分组成。 1、表单标签 功能:用于申明表单,定义采集数据的范围,也就是和里面包含的数据将被提交到服务器或者电子邮件里。 语法:<FORM ACTION="UPL"METHOD=“GET|POST"ENCTYPE=“MIME"TARGET=”…”>… 2、表单域 表单域包含了文本框、多行文本框、密码框、隐藏域、复选框、单选框和...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
ASP.NET防止SQL注入方法示例
10-20
主要介绍了ASP.NET防止SQL注入方法,结合具体实例形式分析了asp.net基于字符串过滤实现防止SQL注入的相关操作技巧,需要的朋友可以参考下
什么是SQL注入?怎么防止SQL注入
weixin_41047756的博客
01-07 439
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。举个简单的例子:做用户登录时候在你的SQL语句后面加一个where 1=1。这样一来可以无视你输入的用户名和密码,直接登录你的程序。 那么怎么防止呢? 1.用户检测:这个是必须的。 ...
防止SQL注入攻击
guodian5261259的专栏
05-07 593
    SQL注入攻击是比较常见的一种攻击数据库方法。在这种攻击中,用户常常利用SQL语句中的特定字符来创建一个恒等条件或永真条件,,从而使得网络应用程序不按照程序员事先设定的方式运行。这样一来,用户可以对网络应用程序进行非法操作,如访问网络应用程序数据库。   下面我们以一个例子来介绍防止SQL注入攻击的方法,同时还提供了防止SQL注入攻击的实例:  首先我们创建一个页面 
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6593
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
mybatis防止SQL注入方法实例详解
08-27
MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解。 为什么 SQL 注入攻击存在 SQL 注入攻击存在的原因是因为开发人员没有遵循编程规范。例如,...
Python中防止sql注入方法详解
09-21
预编译SQL语句是防止SQL注入的一种有效方法。它允许你在编写SQL语句时保留占位符,然后将实际的参数值传递给这些占位符。Python中的数据库API通常支持这种方式。 **示例代码**: ```python import MySQLdb class ...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
什么是sql注入,如何防止sql注入
热门推荐
0317_lzq_th
08-12 1万+
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户
转:PHP中防止SQL注入方法
weixin_34258838的博客
10-08 776
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
一种通用防SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2383
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
Mybatis中的concat()函数是如何防止sql注入的 理解整理
我叫鱿鱼须的博客
10-27 4062
前言: 刚开始接触Mybatis时,对于xml文件中的concat()函数的使用不是太理解,现在终于搞明白的,其实不难理 CustomerMapper.xml文件下的 配置: <!-- bind的测试 --> <select id="findCustomerByName1" parameterType="customer" resultType="customer"> <bind name="parttern_username" value="username"/
3个步骤解决SQL注入隐患
weixin_30411997的博客
01-07 133
现在做网站的专业人员越来越多,网站也越来越丰富和充实,不过可能很多人都没有发现,许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。 这个就是sql注入问题。   SQL注入是什么?   许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返...
防止SQL注入:最佳实践与方法
为了防止SQL注入攻击,我们可以采取以下几种策略: 1. **参数化查询**: 使用PreparedStatement接口来执行SQL查询,而不是Statement。PreparedStatement允许我们将变量作为参数传递,这样可以确保SQL语句中的每个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值