html防sql注入,常见漏洞防御 之 防SQL注入的三种方式

最新推荐文章于 2024-09-20 11:29:55 发布
最新推荐文章于 2024-09-20 11:29:55 发布
阅读量809 收藏 1
点赞数
文章标签: html防sql注入

b0391aebd26e4f6818babd046706c925.png

看以下三种SQL语句

String sql1 = "select * from user where username = '"+username+"' and password = '"+password+"'";

String sql2 ="select * from user where username = :username and password = :password";

String sql3 = "select * from user where username = ? and password = ?";

推荐写法是sql2、sql3使用的别名或者通配符的形式进行传值,可以避免SQL注入,sql1就有了常见的典型SQL注入问题,假设username随便传个值,比如 '张三',传入的password的值为 ' or 1 = 1' 则 拼接的SQL语句成了

select * from user where username ='张三' and password = '' or 1 = 1 ''

很明显无论前面的and为真还是假,只要or后面为真,则就可使查询为true,导致SQL注入 所以尽可能避免字符串拼接的形式进行SQL传值,但有些场景可能必须采用字符串拼接的形式,比如Mybatis在按要求排序时:

order by #{order} #{sort}

用 #{}的形式取值就相当于字符串拼接,但是因为排序DESC、AESC这种是SQL关键字,不能进行转义,所以就必须采用字符串拼接的形式了

如果采用这种形式还要避免SQL注入的话,就需要对传入的值进行SQL过滤,来避免SQL注入

那么OWASP提供了一个防御sql注入的Esapi包,这个包中的encodeForSQL方法能对sql注入进行很好的防御。

//防止Oracle注入

ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam)

//防止mysql注入

ESAPI.encoder().encodeForSQL(new MySQLCodec(Mode.STANDARD),queryparam) //Mode.STANDARK为标准的防注入方式,mysql一般用使用的是这个方式

//防止DB2注入 ESAPI.encoder().encodeForSQL(new DB2Codec(),queryparam)

使用不同的数据库,使用的过滤方法不同

下面我们就用MySQL为例字分析encodeForSQL函数做了什么防御。具体函数过程就不跟踪了,直接分析最后调用了哪个方法。根据代码可知最后调用的是encodeCharacter方法。

public String encodeCharacter( char[] immune, Character c ) {

char ch = c.charValue();

// check for immune characters

if ( containsCharacter( ch, immune ) ) {

return ""+ch;

}

// check for alphanumeric characters

String hex = Codec.getHexForNonAlphanumeric( ch );

if ( hex == null ) {

return ""+ch;

}

switch( mode ) {

case ANSI: return encodeCharacterANSI( c );

case STANDARD: return encodeCharacterMySQL( c );

}

return null;

}

上述方法中containsCharacter函数是不进行验证的字符串白名单,Codec.getHexForNonAlphanumeric函数查找字符传中是否有16进制,没有返回空值。

而encodeCharacterANSI和encodeCharacterMySQL才是防御的重点,我们看一下这两个函数的不同,如果选择的我们选择是Mode.ANSi模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号进行了转义。

private String encodeCharacterANSI( Character c ) {

if ( c == '\'' )

return "\'\'";

if ( c == '\"' )

return "";

return ""+c;

}

如果选择的是Mode.STANDARD模式,则字符串则进入下面的函数,可以看到这个函数对单撇号和双撇号、百分号、反斜线等更多的符号进行了转换,所以使用时推荐使用标准模式。

private String encodeCharacterMySQL( Character c ) {

char ch = c.charValue();

if ( ch == 0x00 ) return "\\0";

if ( ch == 0x08 ) return "\\b";

if ( ch == 0x09 ) return "\\t";

if ( ch == 0x0a ) return "\\n";

if ( ch == 0x0d ) return "\\r";

if ( ch == 0x1a ) return "\\Z";

if ( ch == 0x22 ) return "\\\"";

if ( ch == 0x25 ) return "\\%";

if ( ch == 0x27 ) return "\\'";

if ( ch == 0x5c ) return "\\\\";

if ( ch == 0x5f ) return "\\_";

return "\\" + c;

}

写个单元测试:

@org.junit.Test

public void testESAPI() {

String username = "zhangsan"; String password = "' or 1=1'";

String sql1 = "select * from user where username = '"+username+"' and password = '"+password+"'";

//String sql2 ="select * from user where username = :username and password = :password";

//String sql3 = "select * from user where username = ? and password = ?";

System.out.println("过滤前:"+sql1);

username = ESAPI.encoder().encodeForSQL(new MySQLCodec((Mode.STANDARD)), username);

password = ESAPI.encoder().encodeForSQL(new MySQLCodec((Mode.STANDARD)), password);

sql1 = "select * from user where username = '"+username+"' and password = '"+password+"'";

System.out.println("过滤后:"+sql1);

}

我们介绍了利用绑定变量、通配符和利用esapi三种方式对sql注入进行防御,我的建议是尽量使用绑定变量或者通配符的是形式进行防注入,安全性能都比较好,如果不得不使用字符串拼接的形式,则使用esapi进行sql过滤

最后给个esapi的maven支持形式

org.owasp.esapi

esapi

2.1.0.1

Q.E.D.

Lrrrissss
关注
防御SQL注入的方法总结
weixin_34186128的博客
07-20 1412
这篇文章主要讲解了防御SQL注入的方法,介绍了什么是注入,注入的原因是什么,以及如何防御,需要的朋友可以参考下 SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。 SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询...
SQL注入攻击与防御 第2版》PDF版本下载.txt
07-17
SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以导致数据泄露、数据破坏、服务器控制权丢失等严重后果。 #...
htmlsql注入的方法,实践有效的网站SQL注入方法(一)
weixin_34410975的博客
06-16 600
几年前,网站中大多数都存在sql注入sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的范和发掘不够深造成的,这里我把范sql的...
别再被SQL注入攻击困扰!揭秘高效护措施,让你的网站安全无忧!
最新发布
weixin_45734165的博客
09-20 588
程序员应该对用户输入的数据进行严格的过滤和检查,去掉不安全的输入数据,以减少被攻击的风险。在过滤输入内容时,可以采用一些常见的过滤方法,如正则表达式、字符串替换等,以确保输入数据的安全性。管理员的权限应该被限制在最必要的范围内,同时需要对管理员的每一步操作进行记录和监控,以便及时发现并处理潜在的安全风险。SQL注入攻击是一种危险的Web漏洞,它利用应用程序对用户输入的处理不当,导致恶意用户可以在数据库中执行非授权的SQL查询。对于任何可能导致安全问题的环节,都需要进行深入的测试和检查,以止潜在的攻击。
.netSQL注入方法
William的专栏
04-08 1972
  所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。第一步.使用ASP.NET请求验证.默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2364
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
什么是sql注入攻击,它的原理及防御方法有哪些?
qq_44798703的博客
02-26 610
什么是sql注入攻击,它的原理及防御方法有哪些? SQL注入攻击是一种利用Web应用程序对SQL语句的输入验证不严格的漏洞,将恶意代码插入到SQL语句中的攻击行为。通过这种攻击,攻击者可以绕过应用程序的认证和授权机制,直接访问数据库中的敏感信息,或者执行恶意的SQL语句,导致数据库数据被破坏、泄漏或者被盗取。
SQL注入攻击与防御-第2版
10-11
主要内容: ·发现、确认和自动发现SQL注入漏洞 ·通过SQL注入利用漏洞 ·在代码中发现SQL注入的方法和技巧 ·利用操作系统的漏洞 ·在代码层和平台层防御SQL注入攻击 ·确定是否已经遭到SQL注入攻击
SQL注入漏洞全接触.ppt
11-15
三、 SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的...
SQL注入攻击与防御
07-17
针对SQL注入隐蔽性极强的特点,《SQL注入攻击与防御》重点讲解了SQL注入的排查方法和可以借助的工具,总结了常见的利用SQL漏洞的方法。另外,《SQL注入攻击与防御》还专门从代码层和系统层的角度介绍了避免SQL注入的...
关于sql注入和css注入
Kind&红衣的博客
06-22 962
addslashes()函数和htmlspecialchars()函数addslashes(),向字符串中的预定义字符添加反斜杠进行转义,预定义字符:单引号(')双引号(")反斜杠(\)NULL这样的做法可以预sql的注入htmlspecialchars(),htmlspecialchars($kind_emailsAdd,ENT_QUOTES);对$lomd_emailsAdd 这个字符串变量...
mybatis中的XM文件中是怎么SQL注入的?
07-26 181
直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那么很有可能会产生注入,如: 1 String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; 2 Statement stmt = connection.createStatement(); 3 ResultSet rs = stmt.executeQu...
SQL注入的五种方法
热门推荐
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
sql注入的几种方法
super0704的博客
11-28 1250
SQL注入攻击的总体思路 1、寻找到SQL注入的位置 2、判断服务器类型和后台数据库类型 3、针对不通的服务器和数据库特点进行SQL注入攻击 SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 =. 2– 密 码:点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经...
mybatis中如何sql注入和传参
kali_Ma的博客
12-24 2769
环境 使用mysql,数据库名为test,含有1表名为users,users内数据如下 JDBC下的SQL注入 在JDBC下有两种方法执行SQL语句,分别是Statement和PrepareStatement,即其中,PrepareStatement为预编译 Statement SQL语句 SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "' 当传入数据为 username =
浅谈防御sql注入
quan9i的博客
03-08 5225
文章目录前言防御手段sql语句预编译规定变量格式过滤字符串和正则通配符关闭PDO部分功能转义特殊字符 前言 文章同步于我的个人博客中,欢迎大家访问 众所周知,sql注入是比较常见的一种攻击方式,我们通常学习了很多攻击手段,例如联合查询,二次注入,报错注入,布尔盲注,时间盲注等等,但我们此时仅仅学会了如何得到数据,那如果反过来,让我们保护数据,此时该如何防御sql注入呢,我浅学了一点,并总结如下,希望能对正在学习sql注入的人有一点帮助.。 博主只是一个小白,如果出现问题还请各位师傅多多指教 防御手段 sql
漏洞篇(SQL注入三)_sql注入漏洞解决方法,80后程序员感慨中年危机
m0_60666921的博客
04-07 1189
代码中过滤了 or 和 AND,大小写同样都被过滤了。
Java安全学习-SQL注入
weixin_45715461的博客
08-17 2282
Java安全学习-SQL注入
SQL注入攻击与防御:实战指南
5. **安全编码实践**:提供安全的编程指导,强调在开发过程中应用最佳实践,避免引入SQL注入漏洞。 6. **漏洞检测工具**:介绍自动化工具,如OWASP ZAP、Nessus等,用于检测和修复SQL注入漏洞。 7. **案例研究**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值