mysql 参数化 注入_参数化sql语句----防止sql注入攻击(下)

最新推荐文章于 2022-06-07 11:14:36 发布
最新推荐文章于 2022-06-07 11:14:36 发布
阅读量337 收藏
点赞数
文章标签: mysql 参数化 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33565558/article/details/113236073
版权

上一篇写的sql注入的基本原理,本来要接着写这篇的,但是由于时间的原因一直没有写成,今天是五一假期,总算是能抽空写写了。

作为一个程序员,防范sql注入的第一线是由我们来守护的,只要我们在程序中留少许的漏洞,就会给程序增强安全特性。所以我们要做的是要写安全的程序,防止sql注入在程序体现在不要拼接sql字符串,一定要参数化sql或者写存储过程,这里就说说简单的参数化sql吧。

例子中用c#和oracle实现,java中或者其他数据库中的实现也是类似的。

using System.Data.OracleClient;//引入oracle操作包

//定义DML语句

string strSQL = @"select user.name from user where user.name =

:userName";

//上句中的:userName就是sql语句中参数的占位符,也就是说在数据库服务器中执行这条sql语句的时候这个占位符要被其他东西替换掉,到底用什么东西替换呢,接着往下看

OracleParameter[] param = {

new OracleParameter(":userName",txtName);

}//这里定义一个参数的数组,里面可以写入多个sql参数,咱们的这里只有一个,所以就写入一个参数,这里讲占位符和他的替换也就是参数值对应起来了,txtName就是占位符的替换值,他是用户界面中用户输入的值,就是他可能含有注入攻击的字符,这下数据库服务器知道用什么东西替换占位符了。

定义好sql语句和参数后就是执行了,执行的时候需要同时将sql语句和参数传入,这样用户输入的带有非法字符的字符串在数据库会当作参数处理,而不会当作sql语句和数据库自己的字符混乱,防止了注入攻击。

OracleCommand

cmd = new OracleCommand();

cmd.CommandText

= strSQL;//定义oracle命令的文本内容

for(oracleParameter p in param)//将参数传入

{

cmd.Parameters.Add(p);

}

cmd.ExecuteNonQuery();

//执行命令

上面基本上是一个完整的参数化sql,不同的数据库服务器sql语句中参数的占位符不同,上面用的是oracle,参数占位符是冒号(:)加名字,在sqlserver中是用@符号加名字作为占位符,而在mysql中用问号(?)加名字来作为参数占位符,不同的数据库中参数的表示符号不一样,这个需要注意。

群论专家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入 生成参数化的通用分页查询语句
01-01
但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写...
parameterize-calendar-mysql:代表带有MySQL查询的参数化日历
05-17
代表带有MySQL查询的参数化日历 1这是什么? 这是提交给国内开源多平台DB客户举办的的答案和解决方案。 由于在解决问题时吸取了教训,因此我将它们整理成个人记录。 2题 显示特定年份和月份的日历。 下面是显示2015...
c mysql 参数化查询_安全 -- mysql参数化查询,防止Mysql注入
weixin_34561373的博客
01-26 251
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不...
mysql防止SQL语句注入_浅谈如何防止sql注入
weixin_29823011的博客
01-25 330
认识SQL注入什么是SQL注入,百度给大家解释的很清楚了!这里不过多介绍,帮大家复制过来。SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。如何防止SQL注入有句老话说的好,有人的地方就...
mysql5.2防注入_如何防止sql注入防止sql注入方法介绍
weixin_35193765的博客
02-03 206
一、什么叫SQL注入攻击sql注入简介SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用...
mysql 参数化 注入_参数化SQL注入
weixin_42110038的博客
02-17 329
private void AddStudent(){string strName =txtName.Text.Trim();string strPwd = txtPwd.Text.Trim();string strSql ="insert into Student (name,pwd)values(@name,@pwd)";SqlConnection conn = new SqlConnec...
mysql参数化查询为什么可以实现_为什么参数化SQL查询可以防止SQL注入?
weixin_35837047的博客
01-27 205
SQL 语句文本对于数据库来说,是一种指令,与 Shell 中输入的一条条命令行很类似。我们在 SQL 中混入的各种值就是操作的参数。考虑一个 WHERE user_id = 10 的筛选,WHERE 的条件包含两个部分:按用户筛选,以及用户 id 的值,后者即为筛选操作的参数。当用户 id 直接混在 SQL 中,表示 id 值的文本作为 SQL 正文的一部分,就很容易被动手脚,攻击者只要伪造一个...
quartz-2.2.3版本的quartz初始化sql语句
08-25
例如,在MySQL中,Quartz的初始化SQL语句可能包括以下内容: 1. 创建`QRTZ_JOB_DETAILS`表,用于存储作业的详细信息,如作业类名、描述等。 2. 创建`QRTZ_TRIGGERS`表,存储触发器信息,如触发器类型、状态、关联的...
10-sql注入-mysql注入1
08-03
SQLMap是一个自动化SQL注入工具,可以用来探测、利用和清洗SQL注入漏洞,它能执行读取文件、查询表名等操作。 8. **显错注入**: 利用MySQL的错误信息进行注入,如输入单引号来触发错误,然后结合`UNION SELECT`...
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
- **参数化查询/预编译语句**:使用预编译的SQL语句防止SQL注入。 - **最小权限原则**:数据库用户只应拥有完成其任务所需的最小权限。 - **错误处理**:不泄露敏感的错误信息,对错误页面进行定制。 - **日志...
mysql语句防止攻击_MySQL如何防止SQL注入
weixin_36164538的博客
02-02 216
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用来...
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4952
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
05-08 387
参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。   在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。...
Mysql注入_基础
ccz4854的博客
04-27 1408
Mysql注入类型 union 联合查询 布尔盲注 时间盲注 显错注入 堆叠注入 宽字节注入 (只存在PHP) Mysql各类型注入语句 1.union 联合查询(sql查询语句),存在mysql的版本问题 下方是5.0之后版本的利用方式 5.0之后的版本存在 information_schema 表 :information_schema 是 一个虚拟数据库 information_schema数据库类似与“数据字典”,提供了访问数据库元数据的方式,即数据的数据。 如数据库名或表名,列类型,访问权
我的MYSQL入门(四mysqlSQL注入
廿一
05-16 148
SQL注入什么是SQL注入数字型注入字符型注入SQL数据库注入示例如何防止SQL注入1、使用参数化筛选语句2、避免使用解释程序3、使用专业的漏洞扫描工具。4、企业在Web应用程序开发过程的所有阶段执行代码安全检查。SQL反注入示例 什么是SQL注入 SQL注入定义 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接
【性能测试】:LR插入mysql数据库数据,脚本参数化问题
weixin_30349597的博客
06-25 155
一,今天准备脚本做mysql数据库的铺地数据,脚本内容不赘述,在批量执行insert语句时候,出现一个问题: // sprintf(chQuery, "insert into table(id, create_time, update_time, version) values ('{datetime}', '2018-06-09 09:57:40', '2018-06-19 1...
sql防注入
windflybird
04-09 2950
sql语句:通过SQL语句实现无帐号登录,甚至篡改数据库。 SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题) 这是为什么呢? 下面我们分析一下: 从理论上说,后台认证程序中...
mysql防止SQL 注入
ahjxhy2010的博客
12-21 519
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:     $sql = "select count(*) as ctr from users where username     ='".mysql_real_escape_string($username)."' and 
转载:SQL注入常见绕过
qq_44418229的博客
06-07 2667
sql注入常见绕过
为什么参数化查询可以防止sql注入,请举例说明
最新发布
05-29
参数化查询是一种使用占位符代替实际的用户输入数据的查询方式,它将用户输入数据与查询语句分开处理,从而避免了 SQL 注入攻击。在参数化查询中,占位符的值由应用程序动态生成,而不是从用户输入中获取。这样,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值