如何有效避免mysql注入_浅析MySQL的注入安全问题

最新推荐文章于 2021-03-11 14:53:06 发布
最新推荐文章于 2021-03-11 14:53:06 发布
阅读量120 收藏
点赞数
文章标签: 如何有效避免mysql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39948442/article/details/113714603
版权

如果把用户输入到一个网页,将其插入到MySQL数据库,有机会离开了发生安全问题被称为SQL注入敞开。这一课将教如何帮助防止这种情况的发生,并帮助保护脚本和MySQL语句。

注入通常发生在处理一个用户输入,如他们的名字,而不是一个名字,他们给一个会在不知不觉中你的数据库上运行的MySQL语句。

永远不要信任用户提供的数据,只能验证后处理这些数据,作为一项规则,这是通过模式匹配。在下面的例子中,用户名被限制为字母数字字符加下划线的长度在8到20个字符之间 - 根据需要修改这些规则。

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))

{

$result = mysql_query("SELECT * FROM users

WHERE username=$matches[0]");

}

else

{

echo "username not accepted";

}

为了说明这个问题,认为这是摘要:

// supposed input

$name = "Qadir'; DELETE FROM users;";

mysql_query("SELECT * FROM users WHERE name='{$name}'");

函数调用应该是从用户表中的名称列的名称相匹配用户指定的检索记录。在正常情况下,名称只包含字母数字字符或空间,如字符串髂骨。但在这里,给$name通过附加一个全新的查询,调用数据库变成灾难:注入DELETE查询删除用户的所有记录。

幸运的是,如果使用MySQL,在mysql_query()函数不会允许查询堆叠,或在一个单一的函数调用执行多个查询。如果尝试到堆放查询则调用失败。

其他PHP数据库扩展,如SQLite和PostgreSQL则愉快地进行堆查询,执行在一个字符串中的所有的查询,并创建一个严重的安全问题。

防止SQL注入:

可以处理所有的转义字符巧妙的脚本语言,比如Perl和PHP。 PHP的MySQL扩展提供的函数mysql_real_escape_string()输入到MySQL的特殊字符进行转义。

if (get_magic_quotes_gpc())

{

$name = stripslashes($name);

}

$name = mysql_real_escape_string($name);

mysql_query("SELECT * FROM users WHERE name='{$name}'");

LIKE困境:

为了解决的LIKE问题,一个自定义的转义机制必须用户提供的%和_字符转换成文字。使用addcslashes()函数,让可以指定一个字符范围转义。

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");

// $sub == \%something\_

mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

本文标题: 浅析MySQL的注入安全问题

本文地址: http://www.cppcns.com/shujuku/mysql/125431.html

weixin_39948442
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何避免出现 SQL 注入漏洞
阿里云技术
09-09 543
‍‍‍‍‍一 前言 本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 二 SQL注入漏洞的原理、形成原因 SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行。目前最佳的解决方案就是预编译的方式。 SQL语句在执行过程中,需要经过以下三大基本步骤: 代码语义分析 制定执行计划 获得返回结果 而一个SQL语句是由代码和数据两部分,如: SELECT id, nam..
浅析MySQL注入安全问题
09-10
主要介绍了浅析MySQL注入安全问题,文中简单说道了如何避免SQL注入敞开问题的方法,需要的朋友可以参考下
FAQ系列 | 防范SQL注入风险
老叶茶馆
03-29 426
MySQL里,如何识别并且避免发生SQL注入风险
防止mysql注入
liuhongwei_study的专栏
08-03 670
防止mysql注入      使用函数mysql_real_escape_string $sql = "UPDATE users SET  name='.mysql_real_escape_string($name).' WHERE id='.mysql_real_escape_string ($id).'";    
如何防止 SQL 注入
weixin_40074744的博客
10-25 241
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
mysql 注入问题
anzhang5248的博客
07-18 188
1、实质 MySql语句是用户自行拼接的字符串 2、例子 import pymysql # 获取用户输入信息 username = input("请输入用户名:") pwd = input("请输入密码:") # 连接数据库 conn = pymysql.connect( host='localhost', port=3306, user...
Mysql数据库的访问方法浅析.pdf
10-10
在实际开发中,为了提高代码的可维护性和安全性,推荐使用预处理语句(如`mysqli_prepare()`和`PDO`)来防止SQL注入攻击,并使用事务处理来确保数据的一致性。另外,考虑到MySQL的版本更新和PHP的进化,开发者应时刻...
JDBC连接MySQL数据库的方法浅析.pdf
10-10
【JDBC连接MySQL数据库的方法浅析】 JDBC(Java Database Connectivity)是Java语言中用于与关系型数据库交互的标准API,由Sun Microsystems(现为Oracle公司)制定。它为Java开发者提供了一个统一的接口,用于访问...
PHP登录环节防止sql注入的方法浅析
10-25
PDO支持预处理语句和参数绑定,可以有效避免SQL注入。在PDO中,参数值不会被直接拼接在SQL语句后,而是由PDO驱动处理,这样即使数据中包含了恶意SQL代码,也不会被执行。 除此之外,现代的PHP框架也提供了防止SQL...
MySQL--SQL注入问题
天行健 君子以自强不息,地势坤 君子以厚德载物。
03-04 228
什么是SQL注入问题 概念: 原理: sql存在漏洞,可能会被攻击导致数据泄露。==> Sql会被拼接 or 关键字 示例: 我们现在SQLyog执行下列语句: SELECT * FROM `users` WHERE `NAME`="" OR 1=1 AND `PASSWORD`= "" OR 1=1; 结果: 我们发现所有的结果都被查询出来了 1. 正常登录 package jdbc.lesson; import jdbc.lesson.utils.JdbcUtils; import j
mysql_query防注入,这是否足以防止使用MYSQL_QUERY注入Mysql
weixin_42510600的博客
01-19 129
I know most of the answers will say use PDO/Mysqli but I'm trying to see if I can do it this way then move on to PDO/Mysqli still learning:Will this function be enough to prevent mysql injection?funct...
如何定位、排除和避免MySQL数据库性能问题
madman_G的博客
05-30 865
做大流量访问级别的web应用开发的项目的时候,我们不得不经常要对应用中的各项功能不断的进行检测,优化以防止应用在关键时刻挂掉。下面作者就如何定位,排除以及避免MySQL数据库性能问题上面发表一些看法。期望能够帮助到同行们能够打造更坚固,更稳定的web应用。(1)设计表时尽量使用 innodb数据库引擎建表时,显式指定使用innodb数据库引擎,而不是myisam引擎,myisam引擎的锁是表锁,读...
mysql注入 c_C和mysql.net connector-有没有任何方法可以防止一般类中的SQL注入攻击?...
weixin_29628479的博客
01-25 55
我的想法是通过一个C(3.5)winforms应用程序创建一些通用类来插入/更新/选择,并通过mysql.net connector 6.2.2与mysql数据库进行对话。例如:public void Insert(string strSQL){if (this.OpenConnection() == true){MySqlCommand cmd = new MySqlCommand(strSQL...
mysqli防SQL注入(代码方面)
zztIsGood的博客
07-14 2164
mysqli防SQL注入(代码方面)$link = mysqli_connect($url,$usr,$paw,$database) or die("Error " . mysqli_error($link)); 1、一般sql: (可以用mysql_real_escapec处理字符串避免mysql注入) $link->query("sql");2、规范写法: (这里的对象方式
mysql注入的sql语句写法_PHP MySQL注入
weixin_39796149的博客
02-08 215
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。举例:$unsafe_variable = $_POST['user_input'];mysqli_query("INSERT INTO table...
MySQL如何防止SQL注入
热门推荐
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
mysql登陆防注入_Mysql防SQL注入
weixin_39966602的博客
02-06 144
SQL注入SQL注入是一种常见的Web安全漏洞,虽然数据库经过了长年的发展已经有了较为完备的防注入能力,但由于开发人员的疏忽大意而产生SQL注入的情况依然常见。什么是SQL注入本文不多做说明,简单说就是利用客户端的输入参数来影响后台对SQL语句的组装。比如常见的用户登录界面,需要用户输入用户名username和密码password,客户端将这两个字段传到后台后,后台组装SQL语句来判断用户输入的用...
mysql 注入攻击与防御_防御SQL注入和XSS攻击
weixin_33298352的博客
02-07 487
无意苦争春 竹子熊 2017.7.28防御SQL注入sql注入是网站开发常见的安全漏洞之一,其产生的原因是开发人员未对用户输入的数据进行过滤就拼接到sql语句中执行,导致用户输入的一些特殊字符破坏可原有SQL语句的逻辑,造成数据泄漏,被篡改,删除等危险的后果.在此前的项目中,操作数据库使用MYSQLi扩展的预处理机制,将sql语句和数据分离,从本质上避免了SQL注入问题的发生.需要注意的是,如...
mysql php 防注入,PHP+mysql防止SQL注入的方法小结
weixin_31708209的博客
03-11 293
本文实例讲述了PHP+mysql防止SQL注入的方法。分享给大家供大家参考,具体如下:SQL注入例:脚本逻辑$sql = "SELECT * FROM user WHERE userid = $_GET[userid] ";案例1:SELECT * FROM t WHERE a LIKE '%xxx%' OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE '...
mysql与SQL注入:CTF Web安全探索关键信息库
本文档主要探讨了MySQL与SQL注入在Web安全和CTF(Capture The Flag,网络安全竞赛)中的重要性,结合...通过理解SQL注入原理和防护策略,参与者可以在CTF挑战中有效地防御此类攻击,同时也能在实际工作中避免安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值