提高postgresql安全性(三、转义符和SQL注入)

最新推荐文章于 2024-04-13 11:19:02 发布
最新推荐文章于 2024-04-13 11:19:02 发布
阅读量473 收藏 6
点赞数 5
分类专栏: postgresql 文章标签: postgresql sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trainee/article/details/136231916
版权

防SQL注入一直是程序员要注意的安全问题。Postgresql有个重要的设置请不要随意更改,除非你有确定的把握。

backslash_quote: 

字符表达式中是否允许 \' 存在。在SQL标准中,转义字符串中的'是转义为''(两个单引号),可是很多客户端软件都转义为\'(反斜杆+单引号),为了兼容,若将backslash_quote设为on,将允许\'存在,但对某些客户端编码是不安全的,其中就包括我们gbk编码,因为汉字gbk编码有些字符的末位在数值上等同于\(值为0x5c),某些客户端软件会将这些字符转义错误,导致出现不应该出现的\'而被SQL注入。

举个例子:客户端字符环境为gbk,某个版本的php,字符串转义函数pg_escape_string(PHP手册说建议用此pg专用转义函数替代PHP转义函数,可是问题就出于此)。 

 

header("Content-Type:text/html;charset=gbk"); 
// gbk编码环境

pg_escape_string("a'b"); 
// 结果是 a''b , 将一个单引号转义为2个单引号,符合SQL标准

pg_escape_string("診"); 
// 结果是 診\ ,診的最后gbk编码为0x5c,和反斜杆一样,结果转义后多了个反斜杆

pg_escape_string("診'"); 
//结果是 診\'' ,结果多了个'没被转义,漏洞产生

至于是哪个版本的php和如何SQL注入,这里不便多说。

因此,考虑到某些客户端的漏洞暂时无法解决的情况下,postgresql的backslash_quote设置就起最后一道防线,干脆不允许\'的存在,将backslash_quote设为 off或safe-encode(默认:在安全的client_encoding编码(如utf8)下才允许打开)。

但如果你为了保持兼容,执意要设置为on,请确保客户端字符环境不为gbk(如utf8)或者多测试一下你的转义程序,用最后编码为0x5c 的字符多测试一下。

除此外,有几个与backslash_quote 相关的参数:

1、standard_conforming_strings:默认为on:字符串中的反斜杆\ 不起转义作用。设为off, 或者在字符串前加个E, 如 E' ....\n ',将支持转义。

2、escape_string_warning:启用此选项后,如果反斜杠(\)以普通字符串文字('...' 语法)出现且standard_conforming_strings关闭则发出警告。默认值为on。

trainee
关注
专栏目录
PgSQL - 如何处理转义特殊字符
u014391334的博客
08-06 435
PostgreSQL 9之前的版本中,可以直接使用反斜杠\进行转义;比如:\b表示退格, \n表示换行, \t表示水平制表符,\r标示回车,\f表示换页。除此之外还支持\digits和\xhexdigits,分别表示转义八进制和十六进制数据。但是在PostgreSQL 9之后的版本,反斜杠已经变成了普通字符;在SQL标准中字符串是用单引号括起来的,而在PostgreSQL中遵守了该标准,双引号则是用来表示变量的,如果在字符串中需要使用到单引号,就需要对其进行转义。方式一:使用E和反斜杠进行转义。
数据库PostrageSQL-版本和平台兼容性
逍遥云恋
11-12 797
19.13. 版本和平台兼容性 19.13.1. 以前的 PostgreSQL 版本 array_nulls (boolean) 这个参数控制数组输入解析器是否把未用引号的NULL识别为一个空数组元素。默认为on,允许输入包含空值的数组值。但是PostgreSQL 8.2 之前的版本不支持数组中的空值,并且因此将把NULL当作指定一个值为字符串“NULL”的正常数组元素。对于那些要求旧行为的应用的向后兼容性,这个变量可以被设置为off。 注意即使这个变量为off也能够创建包含空值的数组值。 backslas
PostgreSQL】函数与操作符-模式匹配
圈小圈DBA的博客
01-17 1645
PostgreSQL提供了种独立的实现模式匹配的方法:SQLLIKE操作符、更近一些的SIMILAR TO操作符(SQL:1999 添加进来的)和POSIX-风格的正则表达式。除了这些基本的“这个串匹配这个模式吗?”操作符外,还有一些函数可用于提取或替换匹配子串并在匹配位置分离一个串。这种类型的模式匹配算子都不支持非确定性拼贴。如果需要的话,可以在表达式中应用不同的拼贴来绕过这个限制。
PostgreSQL - 转义字符
weixin_30765475的博客
08-13 1262
转载至:postgresql字符转义 前言 在PostgreSQL 9之前的版本中,可以直接使用反斜杠\进行转义;比如:\b表示退格, \n表示换行, \t表示水平制表符,\r标示回车,\f表示换页。除此之外还支持\digits和\xhexdigits,分别表示转义八进制和十六进制数据。 但是在PostgreSQL 9之后的版本,反斜杠已经变成了普通字符;如果想要使用反斜杠来转义字符,就...
postgresql字符转义
热门推荐
HatOfDragon的博客
01-18 2万+
背景 大部分的数据库以及编程语言中字符转义都是使用反斜杠"\", 在postgresql9之前的版本中,也是支持反斜杠转义的,postgresql9之前支持C语言风格的字符逃逸(转义)。 比如\b表示退格, \n表示换行, \t表示水平制表符,\r标示回车,\f表示进纸.除此之外还支持\digits和\xhexdigits,分别表示转义八进制和十六进制数据。 字符转义 1. 现在的post...
Postgresql-转义字符
唐僧洗头爱飘柔
04-24 2126
背景: 今天碰到一个问题,就是postgresql中怎么在引号中定义变量,想了各种方法,也没有解决,下面是我找到的神似的内容。 正文 在PostgreSQL 9之前的版本中,可以直接使用反斜杠\进行转义;比如:\b表示退格, \n表示换行, \t表示水平制表符,\r标示回车,\f表示换页。除此之外还支持\digits和\xhexdigits,分别表示转义八进制和十六进制数据。 但是在Postgre...
postgresql的普通字符串转义字符
qq_33445829的博客
07-27 2418
E''转义字符
sql注入知识点
m0_55772907的博客
04-27 3681
1 Sqllab渗透测试天书 Microsoft英文文档 ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152 Iwebsec靶场 判断字
使用Python防止SQL注入攻击的实现示例
09-16
#### 、使用参数化查询防止SQL注入 为了安全地执行SQL查询,可以使用`psycopg2`库提供的方法来构造参数化查询。这种方法可以确保传入的数据被当作查询的参数,而不是SQL代码的一部分,从而避免SQL注入的风险。 *...
基于爬虫的sql注入漏洞检测工具
05-16
总的来说,这个基于爬虫的SQL注入漏洞检测工具结合了自动化爬虫技术和SQL注入检测,可以有效地帮助安全人员或开发团队发现并修复潜在的SQL注入漏洞,提高Web应用的安全性。通过学习和使用这样的工具,我们可以更好地...
SQL注入漏洞演示源代码
09-13
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到Web应用程序的安全性。这个压缩包中的"SQL注入漏洞演示源代码"提供了一个实例,用于帮助理解这种漏洞的工作原理和防范措施。在这个源代码中,开发者可能模拟了...
SQL注入渗透PostgreSQL(bypass tricks)
weixin_54787877的博客
03-13 2835
我们将研究Web应用程序防火墙的绕过方法,以及在不同的查询子句中泄漏数据的方法,例如SELECT,WHERE,ORDER BY,FROM等。 简要概述一下,PostgreSQL是: […] a free and open-source relational database management system emphasizing extensibility and technical standards compliance. It is designed to handle a range o..
php postgresql 参数,PHP: PostgreSQL - Manual
weixin_30431445的博客
03-11 124
pg_close — 关闭一个 PostgreSQL 连接pg_connect_poll — Poll the status of an in-progress asynchronous PostgreSQL connection attempt.pg_connect — 打开一个 PostgreSQL 连接pg_consume_input — Reads input on the connect...
(二)PostgreSQL常用的配置文件(2)
最新发布
文牧之的博客
04-13 1008
PostgreSQL 中, 文件是数据库实例的主要配置文件,其中包含了许多参数,用于调整和控制 PostgreSQL 的行为和性能。这些参数可以根据它们的功能和影响范围分类。以下是一些主要类别及其描述:用于指定一些关键的文件和目录路径。如data_directory、hba_file等该部分控制与数据库连接和认证相关的各种参数设置。这些参数对于数据库安全性、可访问性和性能都至关重要。该部分包含了一系列的参数,这些参数用于控制数据库系统资源的使用,如内存和进程等。这些设置对于数据库的性能和稳定性非常重要
关于postgesql转义字符说明
weixin_34228662的博客
12-21 481
在每个数据库中 \ 默认都具有转义功能。而 在postgresql9以前 字符 \ 默认 具有转义功能,在postgresql9及以后 按照普通字符来处理有参数 standard_conforming_strings=on/off 控制on-表示\按照普通字符出来 不具有转义功能(postgresql9 及以上版本默认值)off-表示具有转义功能(postgresql9 ...
PHP 中的转义函数小结
mysteryflower的专栏
09-27 1139
代码审计的时候经常会遇到种类繁杂的转义函数,最可怕的是他们长的都很像,还是拿出来总结一下吧。 0X01 addslashes() –>(PHP 4, PHP 5, PHP 7) 用法: string addslashes ( string $str ) 返回值: 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(”)、反斜线(...
Postgresql数据库转义字符
fang.lovest.yang的博客
09-24 1万+
产生问题  Postgresql数据库运行下面insert命令 insert into mapping_mac_brand(_id,mac,brand) values(777,'D86595','Toy\'s Myth Inc.')  提示下面的警告: Warning: nonstandard use of \' in a string literal HINT: Use '' to...
PostgreSQL 配置文件详解
Allen技术小站
11-01 2181
如果要查看配置文件中的一些选项,则可以登录psql后 使用 命令来查看; show 选项名; show all; #查看所有数据库参数的值 主要选项: 选项 默认值 说明 是否优化 原因 max_connections 100 允许客户端的最大并发连接数目 否 因为在测试的过程中,100个连接已经足够 fsync on 强制把数据同步更新到磁盘 是 因为系统的IO压力很大,为了更好的测试其他配置的影响,把改参数改为off s...
php escape作用,PHP pg_escape_string 用法 手册 | 示例代码
weixin_39948247的博客
03-10 370
strata_ranger at hotmail dot comForthose curious, the exact escaping performed on the string may vary slightly depending on your database configuration.For example, if your database's standard_conform...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

trainee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值