mysql 绑定变量 共享池_怎么防止SQL注入

最新推荐文章于 2023-03-02 16:38:26 发布
最新推荐文章于 2023-03-02 16:38:26 发布
阅读量197 收藏
点赞数
文章标签: mysql 绑定变量 共享池
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29820757/article/details/114807793
版权

SQL注入举例

定义sql语句(php):

math?formula=sql%3D%22select%20*%20from%20user%20where%20username%3D'username' and password= '$password' ";

然后提交如下URL:

127.0.0.1/injection/user.php?username=angel' or '1=1

或:127.0.0.1/injection/user.php?username=angel' /*

127.0.0.1/injection/user.php?username=angel' #(这两种方式可以把后面的语句注释掉)

就可以不需要密码便能查询或登陆,这便是sql注入的一种方式。

应对措施

(1)PrepareStatement+Bind-Variable

因为MySQL不存在共享池的概念,所以在MySQL上使用绑定变量(Bind-Variable)最大的好处是为了避免SQL注入,增加安全性,以Java为例:

Connection con=getConnection();

String sqlStmt="select * from user where username = ? and password = ?";

PreparedStatement prepStmt =conn.prepareStatement(sqlStmt);

prepStmt.setString(1,"angel ' or 1=1' ");

prepStmt.setString(2,"test");

System.out.println(prepStmt.toString());

//输出:select * from user where username= 'angel' or 1=1' ' and password ='test';

res=prepStmt.executeQuery();

可以看到采用了绑定变量后输入的非法字符会被正常转义而不会作为SQL的条件被解析,避免了SQL注入的风险。

注意:提供该功能的是JDBC驱动,而非MySQL。

(2)自己定义函数来校验

即可以通过对用户提交或可能改变的数据进行分类,然后用正则表达式来对用户提供的输入数据进行检测和验证,特别是空格符号和与其产生相同作用的分割关键字的符号,如“/**/”,同时也要过滤他们的16进制表示"%XX"。

(3)使用应用程序提供的转换函数

如MySQL C API的:mysql_real_escape_string();

MySQL++的: escape和quote修饰符。

航空英语徐老师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL绑定变量为何能防止SQL注入
MyySophia的博客
12-03 418
create table sor.dt_user ( UserID int, ManagerID int, Name varchar(10) ) insert into sor.dt_user select 1,-1,N'Boss' union all select 11,1,N'A1' union all select 12,1,N'A2' union all sel...
PHP+MysqlSQL注入源码 下载
01-01
在IT行业,数据库的安全性是...综上所述,理解SQL注入的原理并掌握防止它的方法对于任何使用PHP和MySQL的开发者来说都是至关重要的。在部署任何包含用户输入的项目时,应始终优先考虑安全性,避免遭受SQL注入等攻击。
sql查询使用绑定变量防止sql注入
weixin_34056162的博客
01-10 500
1,绑定变量减少了解析 假设要将id从1到10000的员工的工资都更新为150.00元, 不使用绑定变量 sql.executeQuery("update employees set salay150 where id=1"); sql.executeQuery("update employees set salay150 where id=2"); ................ ...
SQL注入:pymysql绑定变量防止SQL注入
wanngxue的博客
08-21 1747
拼接式的SQL语句存在SQL注入 而通过绑定变量的方式则能有效防止SQL注入 %s为占位符 通过Sqlmap进行SQL注入时要及时清理掉 .sqlmap目录下的output的缓存,否则在多次对同一个站点进行扫描时,sqlmap将不会再发出HTTP请求,只会扫描之前的站点,影响判断。 ...
防止SQL注入的方法和最优解
WEIwei1996_06的博客
10-10 528
防止SQL注入的方法和最优解 学习慕课网的WEB安全之SQL注入课程后和百度相关文章后的总结,主要为解决思路,相关操作自行到慕课网观看。 一、存在问题 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料的结果,最 终达到欺骗服务器执...
反恐精英之动态SQL和SQL注入-SQL注入-防卫SQL注入-绑定变量
cmff98425的博客
02-16 122
如果在PL/SQL使用动态SQL,你必须检查输入的文本以确保是你所期望的。 可以使用下面的技术: n 绑定变量 防止SQL注入攻击的最有效的方法是使用绑定变量。数据库只是使用它...
php防止sql注入代码实例
10-26
return ereg('select|insert|and|or|update|delete|\'|/\*|\*|..\/|\.\/|union|into|load_file|outfile', $sql_str); } // 检查GET或POST数据是否存在潜在的SQL注入攻击 if (inject_check($_SERVER['QUERY_...
php防止sql注入简单分析
12-19
在上述代码,检查变量`$id`是否为数字(`is_numeric`),可以防止某些类型的SQL注入。然而,这种方法并不全面,因为某些数字字符串也可能包含恶意代码。更安全的方法是使用预处理语句并绑定正确数据类型的参数。 5...
mybatis如何防止SQL注入
01-05
使用MyBatis框架开发应用程序时,合理使用参数绑定技术(如`#{}`)以及对动态参数进行有效的过滤处理是防止SQL注入的关键。通过对MyBatis的正确配置和编程实践,可以大大降低应用程序面临的SQL注入风险,确保系统...
信息安全_安全编码之SQL注入.pptx
08-14
本节将深入探讨SQL注入的原理、防范方法,以及如何通过安全编码实践来防止这类漏洞的发生。首先,让我们了解一下SQL注入的基础知识。 一、SQL语法与注入原理 SQL(Structured Query Language)是用于管理和操作...
mysql共享_共享的调整与优化(Shared pool Tuning)
weixin_35545176的博客
01-21 195
--=======================================--共享的调整与优化(Shared pool Tuning)--=======================================共享(Shared pool)是SGA最关键的内存片段,共享主要由库缓存(共享SQL区和PL/SQL区)和数据字典缓存组成。其库缓存的作用是存放频繁使用的sql,pl...
mysql 绑定变量 c_MySQL绑定变量详解
weixin_32955455的博客
02-10 583
MySQL绑定变量MySQL非常重要的一个特性。主要还是通过SQL语句来实现对变量绑定绑定变量的SQL语句:INSERT INTO tbl(col1, col2, col3) VALUES (?, ?, ?);。绑定变量的SQL,使用问号标记可以接收参数的位置,当真正需要执行具体查询的时候,则使用具体值代替这些问号。当创建一个绑定变量SQL时,客户端(如C或JAVA等)向服务器发送了一个S...
oracle sql调优之绑定变量用法举例
最新发布
力哥讲技术
03-02 3251
的集的势非常大(也就是有个值在字段出现的比例特别的大)的情况下,使用绑定变量可能会导致查询计划错误,因而会使查询效率非常低。绑定变量只是起到占位的作用,同名的绑定变量并不意味着在它们是同样的,在传递时要考虑的是传递的值与绑定变量出现顺序的对位,而不是绑定变量的名称。绑定变量不能当作嵌入的字符串来使用,只能当作语句变量来用。)资源,严重的影响系统的规模的扩大(即限制了系统的并发行), 而且引起的问题不能通过增加内存条和。语句的开发者来说,掌握绑定变量的用法是非常重要的。语句的常量的替代变量
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
sql参数绑定防止注入的原理
xdscode的博客
10-26 1763
本文主要讲述为什么拼接sql容易sql注入 , 而sql使用参数绑定可以防止sql 注入 假设我们的用户表存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd… 下面我们来模拟一个用户登录的过程… <?php $username = "aaa"; $pwd = "pwd"; $sql = "SELECT * FROM table WHER...
mysql绑定参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6508
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入漏洞及绑定变量浅谈
gavin
10-16 1982
1、一个问题引发的思考  大家在群里讨论了一个问题,奉文帅之命写篇作文,且看:String user_web = "user_web" String sql = "update user set user_web="+user_web+" where userid=2343";   大家看看这条sql有没有问题, 1、一个问题引发的思考   大家在群里讨论了一个问题,奉文帅之命写篇作文,且看:
mysql使用bind_param()参数绑定防止SQL注入攻击
luyaran的博客
12-01 3123
什么是sql注入攻击 在阅读这篇文章之前,我们必须要了解sql注入攻击的原理,下面我们使用一个简单的实例来介绍sql注入攻击,以php语言为例: $username="manongjc"; $pwd="123"; $sql = "SELECT * FROM table WHERE username = '{$username}' AND pwd = '{$pwd}'"; 此时sql语句为:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值