sql防注入解决办法

最新推荐文章于 2021-05-17 15:47:39 发布
最新推荐文章于 2021-05-17 15:47:39 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: oracle mysql 文章标签: sql防注入解决办法

sql防注入步骤:

1.

什么是SQL注入?我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!举个简单的查询例子,后台sql是拼接的:select * from test where name='+参数传递+';前台JSP页面要求输入name,那么黑客可以输入: ';DROP TABLESPACE  TEST INCLUDING CONTENTS AND DATAFILES;--   不要小瞧这一段SQL代码:

select * from test where name=' ';DROP TABLESPACE  TEST INCLUDING CONTENTS AND DATAFILES;--’;在PL/SQL中是正确的,可执行的,但是执行后整个表空间都删除了,网站崩溃!

2.最简单最容易的是限制用户输入。简单点的就是不允许用户输入单引号 和 --,因为单引号号--在SQL中都是影响执行的,两种方式一种是在JSP中加判断:

3.另一种是在SQL拼接是对单引号和--等进行转义,str = str.replace("'", "''");

4.以上的方法都是为了防注入而不让用户输入,是一种比较被动的方法,有很大的缺陷,最常见的就是用户获取到URL,修改URL中的参数然后达到SQL注入的目的。例如:procTypeId=DCWORK_EDOC_SEND  可以改为procTypeId=DCWORK_EDOC_SEND'--


5.最好的办法就是不写拼接SQL,改用参数化SQL。我用的是ORACLE数据库,只介绍一下ORACLE数据库的写法



6.SQL参数都用?替换,然后创建两个数组,存放参数类型和参数值,执行查询的时候,将sql、参数类型数组、参数值三个参数传过去,执行查询。

7.改为参数化SQL后再输入单引号进行查询,单引号就被当作参数,而不是特殊字符,执行不会报错:



转载地址:http://jingyan.baidu.com/article/642c9d34ee73d6644b46f766.html


kanguhong
关注
专栏目录
如何避免SQL注入(一文弄懂SQL注入与它的解决办法
m0_58702068的博客
12-03 2535
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 606
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
mysql数据库 注入
11-21
过滤sql语句等注入过滤sql语句等注入过滤sql语句等注入过滤sql语句等注入
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6618
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何SQL注入
热门推荐
Delete_V的专栏
10-23 1万+
-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..  ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串
SQL注入方法
weixin_45363630的博客
09-10 198
public static string FilterSpecial(string text) { if (text == "") { return text; } else { text = text.Replace("'", ""); ...
代替ASP中的Request函数
netidman的专栏
07-22 483
 代替ASP中的Request函数,函数如下:Function SafeRequest(ParaName,ParaType)--- 传入参数 ---ParaName:参数名称-字符型ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)Dim ParaValueParaValue=Request(ParaName)If ParaType=1 thenIf Par
C#SQL注入代码的三种方法
12-31
为了提高网站的安全性,首先网站要注入,最重要的是服务器的安全设施要做到位。  下面说下网站注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化...
Nginx中SQL注入攻击的相关配置介绍
01-10
sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号’ , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite...
ThinkPHP3.2.X SQL注入漏洞的解决方案
amaoatao的博客
03-09 3546
程序部分 1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意 2.任何密码要有等级检测, 密码位数提高到8位以上 3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过 4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置) 5.密码要先在本地加密(SHA1) 6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密...
SQL注入的5种方法
06-13
SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
sql注入
windflybird
04-09 2961
sql语句:通过SQL语句,实现无帐号登录,甚至篡改数据库SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题) 这是为什么呢? 下面我们分析一下: 从理论上说,后台认证程序中...
SQL注入
miss1457的博客
05-17 267
SQL注入url注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
通过HttpModule实现数据库注入
S.Sams`s Blog
04-18 1854
昨天刚把数据库注入的原型发了上去,发觉好像还漏了点东西,现在把它全部补上.Sql注入是常常被一些菜鸟级黑客高手惯用的手法, 就是基于Sql注入实现, 注入程序其实就是处理Http请求,把Get和Post的请求数据中做过滤.通过相应的关键字去识别是否有 Sql注入攻击代码  string SqlStr = "and |exec |insert |select |delete |upda
数据库注入
hellorichen的专栏
10-23 366
1.参数化查询或存储过程 参考:http://www.cnblogs.com/SarahLiu/p/5892689.html
六个建议SQL注入式攻击
cuanji3287的博客
04-20 1706
  一、 SQL注入攻击的简单示例。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
sql注入
厄多斯L的博客
08-21 344
# 存在sql注入 sql = """select * from info where code = '%s';""" % stock_code # 避免通过stock_code进行sql注入 sql = """select * from info where code=%s;""" cs.execute(sql, (stock_code,)) # 将stock_code以元组的方式传入 ...
简单数据库注入
hu_bird的专栏
04-18 639
保护字符串数据值,方法很简单替换单引号  很多人都能够注意到保护字符串数据值,但对整型数据都不在意,比如常见的sql语句a=123select  *  from table  where id=a如果 a字符串为“ 123 or 1 = 1”则sql语句将变成select * from table where id=123 or 1=1这样就会把该表中的所有信息读
Mybatis框架SQL注入策略详解
"详解Mybatis框架SQL注入指南" 在Java Web开发中,Mybatis是一个流行的持久层框架,它允许开发者直接编写SQL语句来进行数据库操作。然而,这同时也增加了SQL注入的风险。SQL注入是一种常见的安全漏洞,攻击者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值