15 SQL中的安全问题

最新推荐文章于 2023-05-03 14:57:29 发布
最新推荐文章于 2023-05-03 14:57:29 发布
阅读量115 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/lmxxlm-123/p/11132415.html
版权

SQL中的安全问题
    1.SQL注入
        demo1:
            SELECT * FROM user WHERE username = ? AND password = ? ;
            
            http://127.0.0.1/injection/user.do?username=angel' or '1=1
            http://127.0.0.1/injection/user.do?username=angel'/*
            http://127.0.0.1/injection/user.do?username=angel'#
    
            其中 or 1=1 保证sql为真;而 /* 以及 # 会将后面的SQL注释掉,使得SQL也为真,导致SQL没有起到需要密码的目的,将数据返回.
 
            
    2.开发时,防止SQL注入
        a.使用Java , JSP进行开发时,应采用PrepareStatement + Bind-variable方式防止SQL注入.
        尽量不要使用拼接SQL的方式.
            demo :
                ...
                String sql = "SELECT * FROM users u where u.id = ? and u.password = ?";
                PrepareStatement ps = connection.prepareStatement(sql);
                ps.setInt(1,id);
                ps.setString(2.pwd);
                ResultSet rs = ps.executeQuery();
                ...
 
        b,使用应用程序提供的转换函数
        
                略,这里没有提到 java 相关的api .
 
        c.自定义函数 进行校验
                输入验证的途径可以分为以下几种:
                    整理数据使之变得有效;
                    拒绝已知的非法输入;
                    只接受已知的合法输入;
            
                目前最好的办法就是对用户提交或者可能改变的数据进行简单分类,分别应用正则表达式来对用户提供的输入数据进行严格的检测和验证.
 
                已知非法的字符有 :
                    '  ,    ;  ,   =  ,  (  ,   ) ,   /*  ,   */  ,   %  ,   +  ,   空字符串  ,   >  ,  <   , - -  ,  [  ,   ]
 
                同时要过滤它们的十六进制表示"%XX",由此可以构造如下正则表达式:
                    (|\'|(\%27)|\;|(\%3b)|\=|(\%3d)|\(|(\%28)|\)|(\%29)|(\/*)|(\%2f%2a)|(\*/)|(\%2a%2f)|\+|(\%2b)|\<|(\%3c)|\>|(\%3e)|\(--))|\[|\%5b|\]|\%5d)
 
 
            
 
     

转载于:https://www.cnblogs.com/lmxxlm-123/p/11132415.html

weixin_30362083
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决SQLSERVER数据库驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接问题JAR包
06-23
用于解决SQLSERVER连接问题驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接问题JAR包。
MYSQL-谨慎使用 select * ?
ydyuse的专栏
03-09 2230
MYSQL-谨慎使用 select * 每次在写查询语句的时候,都需要用怀疑的眼光审视,是不是真的需要返回全部的列,确定要使用SELECT * FROM? 错误方式: Select * from TblA; 这将取出表的全部列,会让MYSQL优化器无法完成索引覆盖扫描这类优化,还会为服务器带来额外的I/O,内存和CPU的消耗。造成系统...
SELECT * 语句的缺点
TongYu2009的专栏
12-03 6150
1、SELECT * 语句取出表的所有字段,不论该字段的数据对调用的应用程序是否有用,这会对服务器资源造成浪费,甚至会对服务器的性能产生一定的影响。 2、如果表的结构在以后发生了改变,那么SELECT * 语句可能会取到不正确的数据甚至是出错。 3、执行SELECT * 语句时,SQL Server首先要查找出表有哪些列,然后才能开始执行SELECT * 语句,这在某些情况会产生性
sql语句注入漏洞及预防
hscvip的博客
01-22 1142
sql语句注入漏洞及预防 1,一般书写sql查询语句的时候可以这么写: Select  count(1) from user where username=’zs’ andpwd=’123’ 比如说我要进行登录操作:正常情况输入:zs  123就可以登录,但是当我在用户名输入:‘or 1=1# 的时候,密码输什么都可以,因为此时的sql语句就成为下面这样: Select  c
由SELECT *引发的多个生产故障,问题藏太深了吧……
架构师小秘圈
09-19 452
作者介绍蒋健,薄冰科技创始人,Oracle ACE,11g OCM,多年Oracle设计、管理及实施经验,精通数据库优化。在众多的SQL审核产品,几乎都会提到一个审核规则,即selec...
jdbc的增删改查
ne_123456的博客
05-19 1197
1.查询数据库表记录。 @Test //理解为main函数。可以独立运行。 public void testQuery() throws Exception { //抛出异常只是为了操作方便。真正在开发时应该try--catch Class.forName("com.mysql.cj.jdbc.Driver"); Connection conn = DriverManager.getConnection ("jdbc:mysql://localhost:3306/mydb?serv
15SQL Server 2005的安全
11-02
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性(包括操作系统、网络系统的安全性)是...
SQL15.pptx
06-14
SQL15.pptx
数据库原理实验-数据安全性-sqlServer
07-08
1实验目的 ... (2)掌握用户授权和回收权限的基本方法。 (3)掌握系统级权限和对象级权限的授权和回收方法 (4)掌握角色的使用方法 2实验内容 ...(15)对象级权限。 (16)表级权限。 (17)列级权限。
MySQL安全问题(防范必知)
xv7777666的博客
05-03 1374
对于任何一种数据库来说,安全问题都是非常重要的。如果数据库出现安全漏洞,轻则数据被窃取,重则数据被破坏,这些后果对于一些重要的数据库都是非常严重的。下面来从操作系统和数据库两个层对MySQL安全问题进行讨论。常见的操作系统安全问题主要出现在MySQL的安装和启动过程.MySQL安装完毕后,一般会将数据目录属主设置为mysql用户,而将MySQL软件目录的属主设置为root,这样做的目的是当使用mysql启动数据库时,可以防止任何具有FILE权限的用户能够用root创建文件。
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
MySQL(十二)------ SQL安全问题
Coding___Man的博客
12-26 592
       日常开发过程我们通常只关心SQL语句能否实现预期功能,往往忽略了SQL语句可能会带来的系统漏洞,常遇到的就是SQL注入。 一、SQL注入简介        这里不做抽象的解释,可能说完也不会明白,直接用例子来演示SQL注入: 1. 首先我们创建一张表并插入一条数据来模拟实际情况下接触不到的数据库 CREATE TABLE users (   id int(11) NOT ...
Mysql学习笔记(三) - Sql安全问题
tianjingle
10-29 207
很多时候开发人员只关系系统的功能的实现,很多系统开发人员甚至sql安全全然不知,那么在开发sql具体有哪些注意点?这里我们就跟随笔者一起看看sql注入和相关的防范措施吧!...
系统开发SQL安全问题
JDIT的博客
05-16 386
回到首页☞ 早些年IT行业是以功能实现为主,现在随着业务的推行,系统不再孤立,防止安全渗透是重要的工作项。 就像做自动化平台,可以节约人力实现百万服务器的自动运维,同样也可以批量获取root权限,格式化全量服务器。 做平台项目安全终于功能,当一个系统能力越大同样被渗透后破坏也就更大。 定位: 这里作为开发人员,不做深入探讨。 1、SQL注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之
SQL Server的几个安全问题
03-14 2003
单位的小王学习SQL Server已有一段时间了,已经做了个不错的管理系统,有次小王让我帮着看看库的设计有没有问题,其间我发现他的安全意识非常薄弱,这也许是初学者容易忽视的问题,本文探讨一些SQL Server常见的安全问题,是给初入SQL Server的人看的,写的肯定很絮叨,高手勿读。本文的用的是SQL Server 2000,下文都简写为SQL Server。  一、空口令或弱口令  初学
sql 安全问题
weixin_30360497的博客
03-21 60
sql注入:利用某些数据库的外部接口(Web表单递交或输入域名或页面请求的查询字符串)将用户数据插入到数据库,从而达到侵入数据库甚至危害整个操作系统的目的。 转载于:https://www.cnblogs.com/-cqq/p/8620276.html...
关于SQL安全问题(ftp.exe、cmd.exe的解决方法)
07-21 1116
这段时间服务器出了点问题,弄得很郁闷!进程里多了2个进程,一个ftp.exe,一个cmd.exe,手动清除不掉这2个进程,用了好几款杀毒软件如:卡巴斯基互联网安全套装7.0、瑞星2008、Mcafee8.5企业版等都无济于事!只有Mcafee查出在system32下发现两个病毒文件eq和tt,但清除掉后,过不了多久就又自动出现了!无发彻底清除,后来到安全模式下用冰刃强杀,彻底清查注册表,但是重启后
MySQL 安全问题
时光钟摆
10-09 366
对于任何一种数据库来说,安全问题都是非常重要的。如果数据库出现安全漏洞,轻则数据被窃取,重则数据被破坏,这些后果对于一些重要的数据库都是非常严重的。下面来从操作系统和数据库两个层对MySQL安全问题进行讨论。 操作系统相关的安全问题 常见的操作系统安全问题主要出现在MySQL 的安装和启动过程. 1、严格控制操作系统账号和权限 在数据库服务器上要严格控制操作系统的账号和权限,比如: ...
mysql安全配置基线的sql
最新发布
10-29
MySQL安全配置基线是指通过一系列的SQL语句对MySQL进行安全配置,以提高数据库的安全性。以下是一种可能的MySQL安全配置基线SQL: 1. 创建一个新的管理员账户,并设置强密码: CREATE USER 'admin'@'localhost' ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值