SQL注入以及防止SQL注入的方法

最新推荐文章于 2024-06-20 17:07:42 发布
最新推荐文章于 2024-06-20 17:07:42 发布
阅读量4.8k 收藏 11
点赞数 1
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43206190/article/details/87968280
版权

一、SQL注入简介

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

二、SQL注入攻击的思路

  1. 找到SQL注入的位置
  2. 判断服务器类型和后台数据库类型
  3. 针对不同服务器和数据库的特点进行SQL注入攻击

三、SQL注入实例

一个要求输入用户名和密码的登陆界面
后台程序进行验证的SQL语句如下:

select * from user_table where username=' "$username" ' and password= ' "$password" ';

在登陆界面输入如下用户信息

用户名: 'or 1=1 --
密码:

后台进行验证的SQL语句如下:

select * from user_table where username= '' or 1=1 -- and password=''

条件后面username=’’ or 1=1,意味着该条件一定会执行成功
后面加两个‘-’,就将后边的内容注释了,这样就骗过了系统获取了合法的身份

四、防SQL注入的方法

  1. 检查用户输入变量的数据类型和格式
    a. 前端使用JS检查是否包含非法字符
    b. 使用正则表达式过滤传入的参数
    c. 使用PHP函数检查变量

  2. 过滤特殊的符号
    对于一些无法固定格式的变量,要进行一些特殊符号的过滤或转义处理。如PHP通常采用addslashes函数,它会在制定的预定义字符前添加反斜杠转义,这些预定义字符包括单引号、双引号、反斜杠和NULL。该方法相对安全,但还是能破解

  3. 绑定变量,使用预编译语句
    MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法。实际上,绑定变量使用预编译语句是预防SQL注入的最佳方式,使用预编译的SQL语句语义不会发生改变,在SQL语句中,变量用问号?表示,这样也就无法改变SQL语句的结构,即使用户输入 “ 'or 1=1 – ” 这样的数据也只会当作字符串来解释查询,这样就从根本上杜绝了SQL攻击的发生

Ta 是一个粉刷匠
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你使用sql注入来绕过游戏后台检测
网易搬砖选手
07-09 755
SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中。其解决方案之一,有许多公司实施Web应用程序防火墙和入侵检测/预防系统来试图保护自己。但不幸的是,这些对策往...
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2494
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
SQL注入篇——sqli-labs最详细1-40闯关指南
爱国小白帽
01-11 3万+
使用sqli­labs游戏系统进行sql注入 1.首先确定用哪些字符可以进行sql注入 一.选择Less­1进入第一关,在网址中添加标红内容,显示了用户和密码 http://localhost/sqli­labs­master/Less­1/index.php?id=1’ and 1=1 ­­ ­ 把1=1改成1=2,不报错也不显示任何信息,说明可以利用 ’ 字符注入 二.进入第二关,在网址中添...
手工操作几种常见SQL注入
最新发布
X1DD1Asad343的博客
06-20 898
是一种结合数据库原始报错信息和union查询的注入方式使用场景:数据库中查询的结果能够直接在前端页面中展示出来。
游戏公司后台数据库SQL注入事件分析
weixin_34392906的博客
01-23 449
游戏公司后台数据库SQL注入事件分析人物关系简介              Blank –SA               Dawn(Boss)              Ryan –DBA               Fred –离开公司的安全顾问本案例出自于《Unix/Linux网络日志分析与流量监控》一书,该事例详细描述了一家公司的后台服务器被***,***从中获取了大量游戏币帐号,并发送...
sql注入一般流程(附例题)
热门推荐
Battery的博客
08-03 12万+
在与服务器数据库进行数据交互的地方拼接了恶意的sql代码,达到欺骗服务器执行恶意代码的目的。本质上是程序把用户输入的数据当成了sql语句执行。
反恐精英之动态SQL和SQL注入-SQL注入-防卫SQL注入-绑定变量
cmff98425的博客
02-16 121
如果在PL/SQL中使用动态SQL,你必须检查输入的文本以确保是你所期望的。 可以使用下面的技术: n 绑定变量 防止SQL注入攻击的最有效的方法是使用绑定变量。数据库只是使用它...
SQL注入——SQL注入方法
cldimd的博客
03-19 346
1、手工注入 1、常用函数 user() 返回当前使用数据库的用户 version() 返回当前数据库的版本 database() 返回当前使用的数据库 concat() 用于将多个字符串连接成一个字符串,SELECT CONCAT('My...
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
ASP.NET防止SQL注入方法示例
01-20
本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接将用户提供的输入拼接到SQL查询中时发生的一种攻击。攻击者可以通过在表单字段、URL参数等处插入...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
php防止sql注入方法详解
10-20
使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP中,可以使用PDO(PHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
仿5173游戏交易平台系统SQL注入(可直接脱裤)+Getshell
weixin_34365417的博客
11-17 1030
最近没事登登好几年前玩过的游戏看看,发现有人喊高价收号,这一看就是骗子,这等骗子还想骗我?我就来看看这逗逼是怎么骗人的,结果发现这人给了一个说是 5173平台交易的网站,叫我直接把号的信息填上去然后填好了之后就去他就会去购买,然后仔细看了一下平台,获取了源代码后看了一下~呵呵,漏洞还是有不 少的~ 仿5173网游交易平台游戏交易平台存在注入与getshell漏洞,可直接拖掉玩家数据~ 发乌...
防止SQL注入的四种方案
dehuisun的专栏
09-05 9617
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
防止SQL注入
江拥羡橙的博客
05-16 578
SQL注入是比较常见的网络攻击方式之一,它不是利用**操作系统**的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改**数据库**。
SQL注入解决方案(1)
闪亮滴眼露
02-01 1985
   防止 SQL Injection 解决方案问题的提出:(1)    科技厅项目库系统通过注入方式, 只需输入帐号.(2)    KJXM 通过注入 删除存储过程.(3) ANDES  1.       验证所有客户端输入.始终通过测试类型, 长度, 格式和范围来验证用户输入. 实现对恶意输入的预防. 不能让不安全的代码可能被复制到安
Android游戏SQL注入,关于Android contentprovider sql注入问题
weixin_39603908的博客
05-29 677
问题的引出说到SQL注入,我们常说不使用字符串拼接,使用带占位符的参数化查询可以防SQL注入,那么,在Android content provider中是否也一样呢?下面我们来看一段android contentprovider中的数据库查询代码示例:public void showBooks(View view) {String content = "";Uri bookUri = BookPr...
SQL注入攻击详解与安全防护策略
6. **Web应用程序框架的安全配置**:使用如Spring框架的ORM工具,它们通常内置了防止SQL注入的机制。 7. **保持更新**:定期更新数据库管理系统和应用程序,修复已知的安全漏洞。 【高级SQL注入防范】 对于更复杂...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值