浅谈SQL注入

最新推荐文章于 2023-04-27 16:53:45 发布
最新推荐文章于 2023-04-27 16:53:45 发布
阅读量173 收藏
点赞数
文章标签: PHP SQL注入 MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42085115/article/details/81485305
版权

SQL注入攻击是指在特定场合向SQL语句中植入特定SQL语句,来达到破坏或更改数据的目的,常见于表单提交或者是在URL地址栏输入。

常见注入方式

-1 or 1=1

例如:在URL输入:www.XXX.com?id=1,将得到对应数据,但是如果篡改为www.XXX.com?id=-1 or 1=1,意思变为id=false or true ,将永远等于true,理论将会取出所有数据,这时的where判断将会失效。

#’ 或 ‘–

例如:使用用户名为admin密码为123456登录时SQL语句为,select * from user where username = ‘admin’ and password = ‘123456’;如果用户名更改为admin#’,密码不变,将会变成 select * from user where username = ‘admin’#’ and password = ‘123456’; #’后的将会失效,密码判断将会失效。使用’–(单引号加双中划线)会有同样效果。

那应该如何预防SQL注入的问题

在表单提交时通过JavaScript做验证

在表单提交时就通过JavaScript的正则表达式或者jQuery的插件进行判断,如果不符规格就不通过,可以有效减少服务器处理压力。

严格判断输入变量的类型和格式

通过后端程序判断是否为空,是否为整数等类型来在刚刚获取参数时就判断。

通过正则表达式

如果数据的类型符合我们的基本类型规则,那就通过正则表达式来判断是否是我们想要的具体内容。这一步和上一步在thinkPHP5中可通过框架自带的验证来解决。

进行转义

PHP addslashes() 函数可对引号进行转义。
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
PHP htmlspecialchars() 函数把预定义的字符 “<” (小于)和 “>” (大于)转换为 HTML 实体:可直接存入数据库,取出时 如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

预编译

使用预编译也可以有效阻止SQL注入,PDO是一个很好的预编译的机制,在thinkPHP中对数据库的操作都使用了PDO。

NHPH
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈SQL注入(...)
08-28
sql注入大家应该都知道吧,从论坛下载的,赚点积分走人咯......
浅谈sql注入<一>
weixin_33701294的博客
12-15 108
     关于sql注入,作为一个测试人员是必须要关注的,当前关于web的安全性测试中sql注入已经成为了主流的漏洞之一,我们不容忽视。作为开发人员那就更应该了解了,如果没能正确的认识sql注入,就很难做到防患于未然,因为我们大多数程序中之所以出现sql注入是由于程序缺乏很严谨的逻辑设计,还有一方面就是开发人员经验不足所体现出来的。 通常sql注入是从正常的www端口访问的,从表面来看,跟一般的...
SQL注入
归子莫的博客
03-06 361
SQL注入 简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL注入的危害 攻击者也可以通过获取到的数据,得到后台管理员的密码,然后对网页页面进行恶意篡改 PHP解决方法 解...
浅谈sql注入的攻击与防御
10-07
浅谈sql注入的攻击与防御
浅谈SQL注入攻击与防范.pdf
09-19
浅谈SQL注入攻击与防范.pdf
浅谈SQL注入漏洞的检测与防范.pdf
09-19
浅谈SQL注入漏洞的检测与防范.pdf
浅谈sql注入式(SQL injection)攻击与防范
12-16
SQL注入式攻击是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或验证用户输入的数据时,使得攻击者能够构造恶意SQL语句,从而控制或操纵数据库。本文将深入探讨SQL注入攻击的原理、危害以及如何防范。 1. ...
浅谈sql注入
微微一笑满城空
06-08 261
** sql注入的本质上还是对用户输入数据的绝对信任,当我们对用户输入的数据绝对不信任的时候,就可以预防sql注入 ** 1.输入数据长度的限制; 2.关键字过滤; 对参数进行sql关键字过滤,比如: select,insert,delete,where等关键字(过滤规则可使用正则表达式和递归过滤) 3.对参数携带的特殊字符进行转义和过滤; 因为好多注入点都是在字符位置发生的,如果需要进行sql注入,就要先进性闭合的符号判断(id=’$id’ 如果不进行引号的闭合,数据库就会认为用户输入的所有参数为同
SQL注入浅析
Rainnnbow
05-09 1033
1.什么是SQL注入?“SQL注入”是一种利用未过滤/未审核的用户输入进行SQL攻击的行为,意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。例子:网站登陆时的SQL查询代码为:strSQL = "SELECT * FROM users WHERE (name = '" + username + "') and (pw =
SQL注入详解
m0_67391121的博客
07-28 3677
WAF(WebApplicationFirewall)的中文名称叫做“Web应用防火墙”,利用国际上公认的一种说法,WAF的定义是这样的Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通过从上面对WAF的定义中,我们可以很清晰的了解到,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。...
谈谈预防SQL注入
waley的博客
04-27 1529
SQL注入造成SQL注入的原因SQL注入是通过在SQL语句被数据库解析之前,以修改其语法的形式工作的。只要你在解析语句之前插入动态部分,就存在SQL注入的风险。动态部分:1、 用户传递进来的参数 2、 有可能是从数据库查询出来的防止SQL注入的一些方法转义防止SQL语句包含任何不匹配的引号的最古老的方法,就是对所有的引号字符进行转义操作,使他们不至于成为字符串的结束符。比如PDO的quote()函...
【超详细版】学习SQL注入看这篇就够了(原理及思路绕过)
最新发布
MachineGunJoe666
04-27 5574
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
SQL注入攻击详解与防御策略
"浅谈sql注入的攻击与防御" SQL注入是一种严重的网络安全问题,它发生在Web应用程序中,允许攻击者通过构造恶意SQL语句来操控数据库。这种攻击方式的关键在于,攻击者能够控制输入到数据库查询中的数据,从而使原本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值