SQL 注入与防治

最新推荐文章于 2024-04-01 19:58:31 发布
最新推荐文章于 2024-04-01 19:58:31 发布
阅读量226 收藏
点赞数
分类专栏: 安全 数据库基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40562288/article/details/92128556
版权

文章目录


SQL注入问题是web应用应该注意的 top 10 之一安全问题。通过用户输入或第三方恶意输入内容来获取或者修改数据库的内容;为了避免 SQL注入的问题,应该对 SQL 语句的参数进行检查,也可以利用持久层框架限制SQL。
一般由于手动拼接sql语句引起。

1、如何防治SQL注入

防止SQL注入一般有三种方法
1.过滤原则:对用户输入的数据进行判断,用黑名单,或者白名单的方式验证,或者替换危险字符。
2.写数据存储过程:这个还是有一定的风险有可能会有漏网之鱼,还有就是查询太多的话,存储过程也会写的特别的多,但是写存储过程会提高查询的效率,有一定好处。
3.使用参数化查询语句进行查询,原因可见数据库文件夹中的文章 SQL语法1.1部分http://note.youdao.com/noteshare?id=c088f7c685ade3ac630a101b9d9cd7d2

举例

1、参数化查询:
利用PreparedStatement 安全的插入用户输入值。

String sql = "select customer_id, acc_number, branch_id, balance from Accounts"
    + "where customer_id = ?";
  Connection c = dataSource.getConnection();
  PreparedStatement p = c.prepareStatement(sql);
  p.setString(1, customerId);//限制输入参数值类型为String,且无法利用引号拼接
  ResultSet rs = p.executeQuery(sql)); 

String jql = "from Account where customerId = :customerId";
TypedQuery<Account> q = em.createQuery(jql, Account.class)
.setParameter("customerId", customerId);//限制

2、校验参数:
使用集合的contains方法,检查输入值是否在对应的可选值集合中;
利用正则表达式,检查特殊符,采取拒绝服务、忽略特殊符号、转义特殊符号的方式等进行处理;

2、如何控制SQL注入的影响

当无法避免SQL注入时,可以控制被SQL注入引起的危害程度。作为一种良好的安全实践,我们应该始终实现多个防御层。
场景:项目使用的历史遗留代码无法修改,且遗留代码中存在SQL注入隐患。
1、控制数据库账户权限(restrict privilege of account to access database)
2、使用可用的特定于数据库的方法来添加其他保护层。例如,H2数据库有一个会话级选项,可以禁用SQL查询上的所有文字值
3、使用短期凭据(credentials):使应用程序经常轮换数据库凭据; 实现这一点的一个好方法是使用Spring Cloud Vault
4、记录所有内容:如果应用程序存储客户数据,这是必须的; 有许多解决方案可以直接集成到数据库或作为代理,因此在发生攻击时我们至少可以评估损坏
5、使用WAF或类似的入侵检测解决方案:这些是典型的黑名单示例 - 通常,它们带有一个相当大的已知攻击签名数据库,并会在检测到时触发可编程操作。 有些还包括可以通过应用一些检测来检测入侵的in-JVM代理 - 这种方法的主要优点是最终的漏洞变得更容易修复,因为我们将有一个完整的堆栈跟踪可用。

具体可查看该网站
Primary Defensess:
Option 1: Use of Prepared Statements (with Parameterized Queries)
Option 2: Use of Stored Procedures
Option 3: Whitelist Input Validation
Option 4: Escaping All User Supplied Input
Additional Defenses:
Also: Enforcing Least Privilege
Also: Performing Whitelist Input Validation as a Secondary Defense

weixin_40562288
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入防护
暖风吹起云之博客
08-04 3032
SQL注入介绍和防护。
避免sql注入_动力节点Java学院整理
08-29
为了避免SQL注入,需要从多方面入手,包括权限控制、参数化语句、输入验证、数据库安全参数、多层环境防治、漏洞扫描工具等。 首先,权限控制是关键。在数据库设计中,需要严格区分普通用户和系统管理员用户的权限...
防止sql注入的一些方法
开发小白的博客
06-06 419
总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息明文存放,请加密或者has
php防止注入
weixin_38544803的博客
11-10 271
在function.php中添加一个函数 function injectChk($sql_str) { //防止注入 $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); if ($check) {
sql注入方法
ak47147258369的博客
06-17 84
mysql_escape_string(strip_tags($arr)) /** * 函数名称:post_check() * 函数作用:对提交的编辑内容进行处理 * 参  数:$post: 要提交的内容 * 返 回 值:$post: 返回过滤后的内容 */ function post_check($post){ if(!get_magic_quo...
记一次奇葩的sql注入联合查询黑名单绕过与布尔盲注绕过
weixin_48421613的博客
10-27 4560
近日为甲方爸爸挖漏洞,又是遇到奇葩SQL注入的一天。 首先,页面是这个样子滴 注意两个蓝色的框 一个小单引号之后,报错了,好样的,sql注入无疑了 由于是Get型注入,所以一开始想直接用union联合查询 使用二分法得知,字段数量是9 2. 使用联合查询,这里被拦住了 代码君已私奔到月球,这是啥玩意? 一开始以为是最常见的 union select 联合查询黑名单过滤,于是乎使用了大部分的方式都是对这两个单次进行绕过,什么大小写、双拼、编码转换,这里要说的是, /**/ 这种的也会被屏蔽 而后
在IIS SQL Server中利用ISAPI ReWrite防SQL注入攻击.pdf
09-19
在IIS SQL Server中利用ISAPI ReWrite防SQL注入攻击.pdf
网络安全培训视频教程-53.利用SQL注入漏洞入侵网站实例演示(下).rar
07-09
应与此情况,黑客动画吧积极配合互联网安全防治,携手网易学院,推出这一系列大型网络安全免费培训教程,旨在普及网络安全知识,提升广大网民安全意识。通过了解一些黑客常用攻击手法,来发现自身的一些安全隐患,并...
网络安全培训视频教程-51.SQL注入漏洞原理介绍.rar
07-09
应与此情况,黑客动画吧积极配合互联网安全防治,携手网易学院,推出这一系列大型网络安全免费培训教程,旨在普及网络安全知识,提升广大网民安全意识。通过了解一些黑客常用攻击手法,来发现自身的一些安全隐患,并...
Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf
09-14
1. 注入攻击:如SQL注入、命令注入等,攻击者通过恶意输入执行未授权的数据库查询或操作系统命令。 2. 不安全的身份验证:弱密码策略、会话管理不当等可能导致用户身份被冒用。 3. 敏感数据泄露:包括信用卡号、个人...
最全防止sql注入方法
weixin_33981932的博客
07-25 83
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下:?123$sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' andpassword=...
【安全】P 2-18 绕过剔除黑名单(union和select)的SQL注入
Z_David_Z的博客
02-15 616
目录0X01 基础知识介绍0X02 去除(union)的代码分析0X03 绕过去除(union)的sql注入0X04 sqlmap安全检测 0X01 基础知识介绍 1、Mysql中的大小写不敏感,大写与小写一样。 2、Mysql 中的十六进制与URL编码通过解码识别。 3、符号和关键字替换 and – &&、or – ||。 4、空格使用 %20表示、%0a换行 %09 tab 0X02 去除(union)的代码分析 preg_replace(mixed $pattern , mixed
SQL注入
WX公众号-小白学安全
03-31 251
SQL注入概述 SQLSQL(Structured Query Language) – 结构化查询语句 ​ 用途:用于存取数据以及查询、更新和管理关系数据库系统 什么是SQL注入? ​ SQL注入是服务器端未严格校验客户端发送的数据,而导致服务器端SQL语句被恶意修改并成功执行的行为 本质:把用户输入的数据当作代码执行 注入产生原因 代码对带入SQL语句的参数过滤不严格 未启用框架的安全配置。例如:PHP的magic_quotes_gpc 未使用框架安全的查询方法 测试接口未删除 未启用防火墙 未使
SQL注入原理及步骤以及黑名单绕过方式
最新发布
lxz021202的博客
04-01 1291
总结SQL注入原理及其步骤,包括不同类型的注入方法,还有黑名单绕过方法。
sql注入防范(2)
m0_74301705的博客
03-13 238
以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间:else{ echo "username 输入异常";当没有过滤特殊字符时,出现的SQL情况:// 设定$name 中插入了不需要的SQL语句以上的注入语句中,没有对 $name 的变量进行过滤,$name 中插入了不需要的SQL语句,将删除 users 表中的所有数据。
防止SQL注入注意点
qq_30242987的博客
02-29 184
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示...
SQL注入就是这么简单
王糊涂的博客
03-16 1915
SQL注入就是这么简单 前言 都2020年还在谈这个话题?是不是out了,其实不然,即使技术发展至今,这个问题在某种情况下,还依然存在,或将继续存在下去。下面根据实际场景解释我与防sql注入的缘起缘灭。 起因 产品:你给我弄一个动态“字段取值配置模块”,很灵活的,因为某种原因,这几个字段的来源不固定,不能硬编码,客户希望能灵活配置,不用动代码就能实现取值方式的变更。比如,我要A表的编号,关联A表...
kingshard SQL黑名单功能介绍
weixin_34087503的博客
01-25 269
kingshard SQL黑名单功能介绍 1. 应用场景介绍 在kingshard开源之后,有用户多次提到能不能在kingshard中加入SQL黑名单机制,让kingshard能够根据特定的规则来拦截在黑名单中的SQL。有几个比较典型的应用场景: DBA定义一些比较危险的SQL,放在SQL黑名单文件中。可以避免前端应用发过来的SQL对数...
Mycat防火墙配置:IP白名单和 SQL黑名单说明
weixin_34363171的博客
09-04 1158
2019独角兽企业重金招聘Python工程师标准>>> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值