关于防止sql注入的几种手段(三)

最新推荐文章于 2023-09-05 12:44:54 发布
最新推荐文章于 2023-09-05 12:44:54 发布
阅读量343 收藏
点赞数
原文链接:http://www.cnblogs.com/perfectdesign/archive/2009/11/25/sqlinjection3.htm
版权

上一篇引起不少争议,也是自己没有一次性写完。

上回说到邹健大哥的存储过程有漏洞, 有人又提出这个很多都是程序员加上去的,压根就不可能注入,的确,有很多拼凑sql的时候是程序里面加上去的,不是来自外界的“直接”输入。我上次的演示例子是基于的最后的排序,那如果要是在where 条件里面呢?能保证100%都不是来自外界的输入吗?另外,软件的分层开发,很多程序员的水平参差不齐,能保证where条件都能100%保证过滤了外界的邪恶输入吗?还有,能保证过滤100%能抵挡黑客的攻击吗?

 

这样,我们再来看看园子里的人 是如何防止注入攻击的,在gg搜索框输入: site:cnblogs.com 防止sql注入 

2750条记录, 第一篇是http://www.cnblogs.com/flyfish/archive/2006/04/26/386049.html,文中只讲了原则,没有实施手段。提到的asp.net安全缺陷解决,在客户端使用服务器验证控件验证,这个是绝对不可靠的,客户端验证是为的用户体验,黑客是不会在浏览器框里输入的。所有的验证都必须要在服务器端再次验证。

 

排名第二位的是http://www.cnblogs.com/killkill/archive/2009/02/26/1398524.html,kill朋友的,有具体的实施手段,防止sql注入的策略,一眼看去那个过滤,就知道有个地方没有注意到,xp_cmdshell命令没有过滤。肯定是有漏洞,当然你可以保证你的系统里面扩展存储过程是默认关闭的,但是你不能保证其他阅读了你文章的用户基于某些原因开启了扩展存储过程。废话一下,强烈建议不要开启扩展存储过程,如果要使用,看clr proc能不能满足你的需求, 不过开启clr也是需要数据库付出一定的代价的,数据库不是很繁忙,可以开启。

 

排名第三位的是转载自csdn的, http://www.cnblogs.com/zhuawang/archive/2008/04/26/1172407.html

也是基于的过滤。

 

    基于过滤的方法不是不行,不是达不到效果,而是基于过滤你不能保证你过滤完所有的危险,如果你认为你过滤完所有的危险,你觉得用户会很方便吗?就像我现在写的文章一样,如果博客园使用过滤,那我这篇文章能被发表吗?所以基于过滤貌似是行不通的,但是有些时候如果全都是参数化,存储过程又太过于复杂,那些不经常写存储过程的程序员很是头疼,怎么办呢?

 

 总结我自己的开发经验来说,没有任何绝对的,只有结合具体情况具体考虑。

 1 检查,类型检查,如果是int一定要tryparse,如果是有限的几个值,一定要枚举匹配。如果是日期一定要转成日期转入数据层。

2 长度,长度是个非常重要的因素,比如登录,如果用户名是严格限死的10个字符以内就10个字符以内,用户名中间没有空格就检查不能有空格,但是这个长度因素是需要严格控制的,不能把长度放开到10个字符以上,因为 "truncate table s"和这个"drop table s",长度需要跟具体需求具体确定,不能全部一刀切。如果有哪位可以在10个字符以内注入成功的,还请告之,我赶紧改我的程序了,呵呵。

3 过滤检查,如果压根不可能出现xp_的地方一定要过滤,至于其他的, delete,drop,很多地方都不能确保

如果前两个检查不能排除危险的话到第三步过滤建议还是都是用存储过程参数化(或语句参数化),因为到第三步的时候已经不能确保100%防止注入了。

还有的时候,经常被群里的人或朋友问到如果我要传递多个ID进去,比如批量删除,有什么办法,网上的解决办法很多,我就不一一说了,主要有在存储过程里字符串拆分组成临时表,或者使用邹健大哥的使用func,配合apply。这些都很复杂,实现起来需要很强的sql根底,不过我的实现就是确保提交过的字符串只有数字和半角逗号组成即可。这样就能确保没有注入可能,然后使用拼凑sql的方式+语句参数化其他where条件来确保安全。

 

其实在这几年我自己的开发历程中,我自己总结我自己对sql注入的安全性认识,经历了几个认识阶段和惨痛教训。

1最初的不知道什么叫sql注入

2使用过滤危险关键字来防止注入

3使用参数化存储过程

4有些地方需要使用sp_executesql

5见招拆招,根据具体的情况做具体的防注入策略,减少程序开发复杂度

 

 如果我的方式仍然有漏洞,还请各位指出,大家把这个安全完善了,那些初级黑客也就不至于那么嚣张了。(sql注入手段的确很低级)

这系列文章中涉及几位博友文章, 还请见谅,只是指出安全性问题,如果我有,也请大家指出。

 

 可能我的表述不是很清楚,应该是在不方便参数化,参数化会导致开发复杂,开发效率慢的情况下,使用拼凑sql,如何来防止注入,意图是强调在使用拼凑sql时,对于外来输入长度,和类型的检查,而不是互联网文章里讲述的强调对输入的过滤。过滤是不靠谱的,只有长度和类型,才能很好的拼凑sql时的注入。

 

转载于:https://www.cnblogs.com/perfectdesign/archive/2009/11/25/sqlinjection3.html

weixin_33887443
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hibernate使用中防止SQL注入几种方案
01-20
Hibernate使用中防止SQL注入几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
今天早上看了一个邹健写的SQL,太牛了!!
weixin_30471065的博客
03-14 152
--首先写一个函数,得到指定类别下的所有子类别 create function f_cid( @ClassName varchar(10)--要查询的类别名(如果类别名会重复,改用NClassID )returns @re table(NClassID int,level int) as begin declare @l int set @l=0 insert @re se...
c/c++ sql防注入
qixiang2013的专栏
03-29 1577
MySQL 支持两种转义模式: ANSI_QUOTESSQL 模式,以及关闭此功能的模式,我们称之为 MySQL模式。 ANSI SQL模式:简单地用(两个单勾)编码所有'(单勾)字符'' MySQL模式,请执行以下操作: NUL (0x00) --> \0 [This is a zero, not the letter O] BS (0x08) --> \b TAB (0x09) --> \t LF (0x0a) --> \n CR (0x0d) -->
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6270
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入的四种方案
最新发布
dehuisun的专栏
09-05 8049
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
Sql server之sql注入
weixin_34021089的博客
04-15 374
SQL Injection 关于sql注入的危害在这里就不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下   防范sql注入的方法无非有以下几种: 1.使用类型安全的SQL参数2.使用参数化输入存储过程3.使用参数集合与动态SQL4.输入滤波5.过滤LIKE条款的特殊字符 ...如果有遗漏的也欢迎园子的大大们指教。 Sample: var...
有效防止SQL注入的5种方法总结
09-09
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的...下面这篇文章主要给大家介绍了关于防止SQL注入的5种方法,教大家有效的防止sql注入,需要的朋友可以参考学习。
关于防止sql注入的几个知识点
12-14
 1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。  1.3:另外pdo预处理无效的地方:  1.3.1:limit语句  ...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
C#防SQL注入代码的种方法
12-31
 下面说下网站防注入的几点要素。  一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。  二:如果用SQL语句,那就使用参数化,添加Param  :尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽...
邹健的SQLserver 代码
05-11
关于邹健的SQLserver的代码学习资料
邹建 - 中文版SQL SERVER 2000开发与管理应用实例 1
05-05
邹建老师写的《中文版SQL SERVER 2000开发与管理应用实例》。邹健的大名,应该都知道的吧。这本书不怎么清晰,想看清晰的,还是买一下他的书吧。也是对别人劳动的尊重。
怎么防止SQL注入
。。。。
03-21 6780
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
如何防止sql注入
weixin_46056012的博客
09-14 162
如何防止sql注入? // 正常情况下 select * from users where username='李四' and password =''123' // 使用sql注入,通过【'--】使后面的字段被注释,从而获取用户信息 select * from users where username='李四' -- ' and password =''123' // 使用escape函数 username = escape(username) password = escape(password
SQL注入攻击分为几类?如何防御?
m0_60571990的博客
10-31 923
SQL注入攻击分为几类?如何防御?
六个建议防止SQL注入式攻击
cuanji3287的博客
04-20 1607
  一、 SQL注入攻击的简单示例。   statement := "SELECT * FROM Users WHERE Value= " + a_variable + "   上面这条语句是很普通的一条SQL语句,他主要实...
[C++]简单的SQL注入过滤
weixin_30478619的博客
03-29 1207
前几天帮一个客户写了一个C++连接MySQL,当他用到他的游戏中后,被人注射了,用了一个永真式,无限的刷了游戏装备 所以,我针对参数和整体SQL语句写了两个简单的函数,进行简单的过滤 bool CheckSQL(string sql) { string key[9] = { "%","/","union","|","&","^" ,"#","/*","*/"}; ...
如何防止SQL注入
u012154840的博客
11-09 3067
SQL注入攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对防治SQL注入有一定的帮助。 严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。 检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp包进行一些匹配处理,或者使用strconv包对字符串转化成其他基本类型的数据
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9279
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
sptingboot 防止sql注入
06-09
为了防止 SQL 注入攻击,Spring Boot 中可以采用以下几种方式: 1. 使用 PreparedStatement,而不是 Statement。 2. 使用 JPA 或 Hibernate 等 ORM 框架,让框架来处理 SQL 语句。 3. 对于动态 SQL,使用 MyBatis...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值