mysql语句防止攻击_准备好的语句如何防止SQL注入攻击?

最新推荐文章于 2023-03-10 17:57:20 发布
最新推荐文章于 2023-03-10 17:57:20 发布
阅读量100 收藏
点赞数
文章标签: mysql语句防止攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30652395/article/details/113465577
版权

下面是用于设置示例的SQL:

CREATE TABLE employee(name varchar, paymentType varchar, amount bigint);

INSERT INTO employee VALUES('Aaron', 'salary', 100);

INSERT INTO employee VALUES('Aaron', 'bonus', 50);

INSERT INTO employee VALUES('Bob', 'salary', 50);

INSERT INTO employee VALUES('Bob', 'bonus', 0);

Inject类容易受到SQL注入的攻击。查询与用户输入一起动态粘贴在一起。查询的目的是显示有关Bob的信息。基于用户输入的薪资或奖金。但是,恶意用户通过在WHERE子句中添加相当于“或真”的“或真”语句来操纵破坏查询的输入,从而返回所有内容,包括应该隐藏的有关Aaron的信息。

import java.sql.*;

public class Inject {

public static void main(String[] args) throws SQLException {

String url = "jdbc:postgresql://localhost/postgres?user=user&password=pwd";

Connection conn = DriverManager.getConnection(url);

Statement stmt = conn.createStatement();

String sql = "SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='" + args[0] + "'";

System.out.println(sql);

ResultSet rs = stmt.executeQuery(sql);

while (rs.next()) {

System.out.println(rs.getString("paymentType") + " " + rs.getLong("amount"));

}

}

}

运行此操作时,第一种情况是正常使用的,第二种是恶意注入:

c:\temp>java Inject salary

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='salary'

salary 50

c:\temp>java Inject "salary' OR 'a'!='b"

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='salary' OR 'a'!='b'

salary 100

bonus 50

salary 50

bonus 0

不应该使用用户输入的字符串连接来构建SQL语句。它不仅易受注入的影响,而且在服务器上也有缓存含义(语句更改,因此不太可能命中SQL语句缓存,而BIND示例总是运行相同的语句)。

下面是一个避免这种注入的绑定示例:

import java.sql.*;

public class Bind {

public static void main(String[] args) throws SQLException {

String url = "jdbc:postgresql://localhost/postgres?user=postgres&password=postgres";

Connection conn = DriverManager.getConnection(url);

String sql = "SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?";

System.out.println(sql);

PreparedStatement stmt = conn.prepareStatement(sql);

stmt.setString(1, args[0]);

ResultSet rs = stmt.executeQuery();

while (rs.next()) {

System.out.println(rs.getString("paymentType") + " " + rs.getLong("amount"));

}

}

}

使用与前面示例相同的输入运行此命令将显示恶意代码无法工作,因为没有与该字符串匹配的PaymentType:

c:\temp>java Bind salary

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?

salary 50

c:\temp>java Bind "salary' OR 'a'!='b"

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?

奉义天涯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySql注入及SQL语句安全检测
weixin_30906701的博客
06-05 106
1functionCheckSql($db_string,$querytype='select')2{3global$cfg_cookie_encode;4$clean='';5$error='';6$old_pos=0;7$pos=-1;8$log_file=DEDEINC....
sql查询中使用绑定变量,防止sql注入
weixin_34056162的博客
01-10 498
1,绑定变量减少了解析 假设要将id从1到10000的员工的工资都更新为150.00元, 不使用绑定变量 sql.executeQuery("update employees set salay150 where id=1"); sql.executeQuery("update employees set salay150 where id=2"); ................ ...
MySQL-演示如何防止注入攻击
迷失的星星的博客
09-23 633
package demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Scanner; /* * ...
Java 连接使用 时序数据库 TimescaleDB
Wis57的博客
03-10 1763
您需要这些来组成一个连接字符串,供 JDBC 用来连接到您的 TimescaleDB 实例。这是一个典型的模式,您可以使用它来将一些数据插入到表中。在下面的示例中,将传感器列表中的关系数据插入到名为 的关系表中。如果您使用的是较旧的 JDK 版本,请使用旧的编码技术。首先,编写一个字符串,其中包含您将用于创建关系表的 SQL 状态。在此示例中,我们创建一个名为 的表,其中。中,与数据交互的主要点是超表,即跨所有空间和时间间隔的单个连续表的抽象,因此可以通过标准 SQL 查询它。
postgres,mysql数据库连接driver,url,username,password
weixin_30577801的博客
06-01 877
postgresql.driver=org.postgresql.Driver postgresql.url=jdbc:postgresql://localhost:5432/postgres postgresql.user=postgres postgresql.password=postgres mysql8.0.16 spring.datasource.driver-c...
mysql创建表的sql语句详细总结
12-14
mysql创建表的sql语句 mysql建表常用sql语句: 连接:mysql -h主机地址 -u用户名 -p用户密码 (注:u与root可以不用加空格,其它也一样) 断开:exit (回车) 创建授权:grant select on 数据库.* to 用户名@登录...
node-mysql防止SQL注入的方法总结
09-09
SQL注入是一种常见的网络安全威胁,它利用开发者在编写应用程序时对用户输入数据处理不当的漏洞,通过构造恶意的SQL语句来获取、修改或删除数据库中的敏感信息,甚至控制整个数据库服务器。在Node.js环境中,使用`...
有效防止sql注入的方法演示
09-08
SQL注入是一种常见的网络安全威胁,它允许攻击者通过构造恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。本文将详细探讨如何有效防止SQL注入,以及展示一个具体的SQL注入攻击实例,并给出相应的防护措施。 ...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
MYSQL语句写入.zip_MYSQL语句写入
09-21
本压缩包文件“MYSQL语句写入.zip”包含了关于如何在MySQL中进行基本的写入操作的示例程序,特别是文件“MYSQL语句写入.vi”,这可能是一个Visual Interface(VI)编程环境下的代码片段,用于演示如何执行MySQL语句...
MySQL in语句防止SQL注入
weixin_44609018的博客
06-08 1394
入参采用需要查询的字段集合,例如下面的 userIds 类型为List USER_ID IN <foreach collection="userIds" item="item" open="(" separator="," close=")"> #{item} </foreach>
mysql中如何防止sql注入_如何进行防SQL注入
weixin_42352981的博客
02-02 2542
1、过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。2、在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$...
mysql防止xss攻击_java 防止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 263
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,...
mysql 自带防注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 647
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
网站mysql防止sql注入攻击 3种方法总结
热门推荐
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4962
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
php使用mysql预处理语句防止sql注入 简单讲解及代码实现
AKGWSB 's blog
07-29 2631
前言 最近在做一个小项目的后台,牵扯到登录等等需要操作数据库的地方,为了安全起见,特地来记录一下。 sql注入是一个非常常见的漏洞,可能会带来严重的后果,sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。 sql注入简单介绍 sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。初次听起来很抽象,什么是改写语义呢?我们来举一个简单的例子 总所周知lol里面有一个位置叫做【辅助】,我们有如下语句: 我最喜欢
mysql语句防止攻击_MySQL如何防止SQL注入
weixin_36164538的博客
02-02 217
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用来...
mysql注入方法_推荐10个防止sql注入方法
weixin_42363662的博客
02-02 636
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下:?123$sql= "select count(*)asctr from users where username='".mysql_real_escape_string($username)."'andpassword='".mysql_real_e...
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击
最新发布
05-24
Python中使用PyMySQL库连接MySQL数据库时,可以通过参数化查询的方式来避免SQL注入攻击。 具体来说,就是将SQL语句中的变量替换为占位符,并将变量的值作为参数传递给PyMySQL的execute()方法。例如: ``` import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值