Sql注入学习笔记

最新推荐文章于 2024-05-25 12:01:51 发布
最新推荐文章于 2024-05-25 12:01:51 发布
阅读量81 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014799602/article/details/117922981
版权

什么是SQL注入?

将sql语句注入进web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
具体来说就是讲sql语句注入进后台数据库中,从而达到盗取数据库数据的目的。

SQL注入的产生原因通常表现在以下几方面:

  • 不当的类型处理;
  • 不安全的数据库配置;
  • 不合理的查询集处理;
  • 不当的错误处理;
  • 转义字符处理不合适;
  • 多个提交处理不当。

SQL注入举例:

  • 查询代码:
executeQueryForMap("select*from manager where manager_name='"+name+"' and manager_pass='"+pwd+"'");

  • 此时将以下内容提交给数据库查询:
    在这里插入图片描述

  • 将构成以下查询语句:

select*from manager where manager_name='1' or'1=1' and manager_pass='1' or'1=1'

此时,结果无论如何都为True

SQL注入防护:

  • 永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双引号进行转换等。

  • 永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

  • 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

  • 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

  • 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装

  • sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky。

KeepeVile
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring queryForMap方法:查询结果以Map集合保存
kkkllllss的博客
07-06 541
该方法用于获取单个查询结果的情况。queryForMap(String sql)参数说明:返回值:查询结果的 Map 集合。本示例获取 ID 编号是 1 的用户数据并输出,关键代码如下: 1. public static void main(String[] args){ 2. ApplicationContext context = new ClassPathXmlApplicationContext("cfg/XMLConfig.xml"); //加载配置文件 3. Dao dao = (D
sql注入学习笔记-dvwa实战
xuqide77的博客
03-12 534
目录一、sql注入基础二、sql注入之union注入实战-dvwa1.先判断是数字型还是字符型2.使用order by查询出表的字段数量3.利用联合注入查询数据库名称、表、字段、字段数据 一、sql注入基础 sql注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。 sql注入漏洞的产生需要满足两个条件 (1)参数用户可控:前端传给后端的参数内容是用户可以控制的 (2)参数带入数据库查询:
Python+MySQL+Tkinter设计学生信息管理系统(速成)
Keitheasun的博客
10-28 8337
这里我们将先前在图形化界面创建好的数据对应上即可,这样就连接完成了#!# 打开数据库连接#生成数据库# 使用 cursor() 方法创建一个游标对象。
SQL注入原理讲解,很不错!
热门推荐
stilling2006的专栏
01-21 39万+
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,
SQL注入详解,看这篇就够了
emprere的博客
02-13 1310
0前言先来看一副很有意思的漫画:相信大家对于学校们糟糕的网络环境和运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊SQL注入相关的内容。1何谓SQL注入SQL注入是一种非常...
SQL注入漏洞
ITSM/ITIL/网络安全/IT运维
03-09 1021
sql注入漏洞名称 SQL注入漏洞 漏洞原理 通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合, 通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 漏洞分类 平台层SQL注入: 不安全的数据库配置或数据库平台的漏洞所致 代码层SQL注入: 程序员对输入未进行细致地过滤从而执行了非法的数据查询 产生原因 不当的类型处理; 不安全的数据库 不合理的查询集处理 不
SQL注入学习笔记
Dasdwer的博客
03-27 296
必要知识:在MySql5.0以上版本中,MySQL存在一个自带数据库名为information_schema,他是一个存储记录所有数据库名,表名,列名的数据库,也相当于可以通过查询他获取指定数据库下面的表名或列名信息。一般select 有回显,insert,update,delete等无回显,需要用到报错盲注(一般使用报错回显,效率最高)sqlmap,超级sql注入工具咋用的,怎么去获取数据库,读表,查数据 ,os-shell。报错显示,遗留文件,漏洞报错,平台配置文件,爆破(网站常见路径)等。
sql注入 学习笔记
weixin_45568648的博客
10-05 2737
自学sql注入
SQL注入学习笔记
星落
11-04 1064
SQL 注入就是指 web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql语句来实现对数据库的任意操作;即通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串中,最终欺骗服务器执行恶意的SQL命令
sql注入学习笔记
XiaoXiao_RenHe的专栏
03-12 309
sql注入如何判断数字型、字符型注入点,是否可以cookie传参,判断字段数。
SQL注入手工笔记.txt
11-29
SQL手工注入小结笔记,大家都来学习学习
sql注入笔记
03-15
sql注入笔记
SQL注入笔记
02-07
SQL注入笔记 对于新手学习SQL注入很有帮助 欢迎大家查看
PHPSQL注入漏洞学习
01-21
详细讲解了PHPsql注入漏洞的类型,及其防范措施,对开发网站,深入了解sql的人会有一定的帮助。
PHP的SQL注入过程分析
12-19
今天从网上学习了有关SQL注入的基本技能。SQL注入的重点就是构造SQL语句,只有灵活的运用SQL 语句才能构造出牛比的注入字符串。学完之后写了点笔记,已备随时使用。希望你在看下面内容时先了 解SQL的基本原理。笔记...
java学习和项目总结
2301_79390585的博客
05-24 698
JRE:JRE是Java 运行时环境,主要包括了两个运行需要的组件:JVM 和 Java 核心类库,如果不进行java开发只想运行就可以只下载JRE。而Java语言,它的代码会先通过javac编译成字节码,再通过jvm将字节码转换成机器码(0和1)执行,即解释运行和编译运行配合使用,所以是混合型。在程序运行之前,通过编译器将源程序编译成机器码可运行的二进制,以后执行这个程序时,就不用再进行编译了。JVM:JVM是java进行编译的虚拟机,是Java 能够跨平台运行的核心。特点:执行速度慢、效率低;
Java高级面试精粹:问题与解答集锦(一)
Layla_c的博客
05-23 1440
答案多态是Java中的一个核心概念,它允许不同类的对象对同一消息做出响应,但具体的行为会根据对象的实际类型而有所不同。重载(Overloading):当多个方法具有相同的名称,但参数列表不同时,这称为方法重载。编译器根据方法调用时传递的参数类型和数量来确定调用哪个方法。重写(Overriding):当子类有一个与父类同名、同参数列表的方法时,子类可以提供特定的实现来覆盖父类的方法。运行时,Java虚拟机(JVM)会根据对象的实际类型调用相应的方法,这个过程称为动态绑定或晚期绑定。答案。
JVM学习-执行引擎
丢爸
05-21 1146
当然是否需要启动JIT编译器将字节码直接编译为对应平台的本地机器指令,则需要根据代码被调用。大部分的程序代码转换为物理机的目标代码或虚拟机能执行的指令集之前,都需要经过下图各个步骤。,将其直接编译为对应平台的本地机器指令,以此提升Java程序的执行性能。”,JIT编译器在运行时会针对那些频繁被调用的热点代码做出。Java代码编译是由Java源码编译器来完成,流程图如下。而定,关于那些需要被编译为本地代码的字节码,称为“Java字节码的执行是由JVM执行引擎来完成。
数据访问与Spring Data JPA
最新发布
无远弗届
05-25 528
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
sql 基础教程 笔记
07-13
比如,应该使用参数化查询,防止SQL注入攻击。同时,对于敏感的数据,应该限制访问权限,保证数据的安全性。 总而言之,SQL基础教程是一个可以帮助我们深入学习和理解SQL语言的教材。通过学习这个教程,我们可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值