sql注入与防止

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量170 收藏
点赞数
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43942304/article/details/117373275
版权

sql注入与防止

何为sql注入

@RestController
public class Controller {
    
    @Autowired
    SqlInject sqlInject;
    
    @RequestMapping("/user/{userId}")
    public void courseList(@PathVarable ("userId") String studentId){
        List<Course> orders = sqlInject.deleteById(studentId);
       
    }
}

@Service
public class SqlInject {

    @Autowired
    private JdbcTemplate jdbcTemplate;
    
    public void deleteById(String studentId){
        String sql = "delete from user where student_id = "+ studentId;
        jdbcTemplate.update(sql,new BeanPropertyRowMapper(User.class));
    }
}
  1. 正常情况下删除一个学生只需要传入student_id,便可以查到相关数据。
    如删除id为4的学生: localhost:8080//user/4
    执行的sql
delete user  where student_id = 4
  1. 如果我们想要删除这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。
    如: localhost:8080//user/4 or 1=1
    执行的sql
delete user  where student_id = 4 or 1=1;

sql注入可以获取数据配置,除此之外,还可以完成很多操作,更新数据、删库、删表等等。

如何防止sql注入

一. 代码层防止sql注入攻击的最佳方案就是sql预编译

String sql = "delete from user where student_id = ?";

这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。

一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。
而预编译的sql在执行sql的时候则直接进行执行计划,不会在进行语义解析,也就是DB不会在进行编译,而是直接执行编译过的sql。

这种方式能防范SQL注入的原理是在SQL参数未注入之前,提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。也就是说其后注入进来的参数系统将不会认为它会是一条SQL语句,而默认其是一条一个参数。

二. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储

三. 规定数据长度,能在一定程度上防止sql注入

四. 严格限制数据库权限,能最大程度减少sql注入的危害

五. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

六. 过滤参数中含有的一些数据库关键词

weixin_43942304
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入 & 预防
王文萱的博客
03-09 828
SQL注入 & 预防
SQL注入与预防
qq_34644183的博客
02-28 4027
定义:把SQL命令插入到Web表单提交或者输入域名或者构造页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令来盗取信息或者攻击数据库服务器。检查SQL注入漏洞检查所有的输入;包括域名输入(GET)表单提交(POST)以及PUT请求,如果在这些地方注入SQL命令能够成功进入系统或者抛出SQL异常则可能存在SQL注入漏洞。页面请求域数字注入如原域名为:localhost:8080/Test/...
sql注入和如何防止
chao0508的博客
05-21 190
在这里和大家说一个技术  pdo技术  PDO就是PHP data Object 提供了PHP操作多种数据库的统一的接口 和MySQL的不同就是 pdo可以操作多种数据库  MySQL就能操作一个 PDO是PHP5新加入的一个重大功能,我们的数据库服务器为MySQL,所有的程序代码的数据库操作全是一mysql()或者mysqli()函数来操作,当我们的数据库 需要更换时比如换成,SQL、SERVE...
代码层防御SQL注入
xiaoxuetu_的博客
03-29 408
1.使用参数化语句 2.白名单/黑名单输入验证 3.编码输出 4.规范化 5.使用存储过程 6.使用抽象层 7.处理敏感信息 8.创建蜜罐,一旦有人访问蜜罐,就给管理员发送一封E-mail ...
项目中配置防止sql注入(springboot)
weixin_39728880的博客
09-19 8789
在项目中我们经常会遇到这些sql注入的问题,这边我介绍的是通过filter拦截的方式进行过滤一些sql脚本的注入,在平时编程的时候我们也要注意,在程序中编写sql脚本(mapper.xml) 文件的时候能用#尽量用#,避免一个恶意攻击网站的人。 首先介绍一下#和$的区别: #{}:占位符号,好处防止sql注入,自带单引号变量 ${}:sql拼接符号,原生变量 接下来介绍写在java项目中(s...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
SQL注入防止SQL注入
06-25
PHP与MySQL结合的环境中,SQL注入的误区在于人们通常认为必须使用单引号来构造SQL语句。实际上,无论在哪种编程语言中,引号内的内容都被视为字符串,除非程序中明确将字符串作为命令执行(如`system()`函数)。例如...
java防sql注入 策略_sql注入 与 预防
weixin_42394785的博客
02-26 193
最近看到很多人的网站都被注入js,被iframe之类的。非常多。本人曾接手过一个比较大的网站,被人家***了,要我收拾残局。。2.其次,用麦咖啡自定义策略,即使网站程序有漏洞,别人也很难在文件上写入代码了。参考自定义策略,有了这个策略,再烂的程序,你也无法写入我的文件http://hi.baidu.com/zzxap/blog/item/efe093a7e0f2c190d04358ef.html4...
sql注入
m0_37541228的博客
03-08 81
参考:https://www.cnblogs.com/zhixie/p/13488704.html 如何防止sql注入 1. 代码层防止sql注入攻击的最佳方案就是sql预编译 参数化传入的SQL参数 public List<Course> orderList(String studentId){ String sql = "select id,course_id,student_id,status from course where student_id = ?"; ..
sql string转为日期_如何有效防止sql注入
weixin_39982452的博客
11-16 118
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。一 背景假如...
防止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
Map.keyset()
ole_triangle_java的博客
12-28 671
有一个Map对象,这时候使用keySet()方法获取所有的key值,比如:    Map map = new HashMap();    map.put(1, "a");    map.put(2, "b");    map.put(3, "c");    map.put(4, "d");    Set keys1 = map.keySet();    Set keys2 = map
java防sql注入 策略_java 最新sql注入原因以及预防方案(易理解)
weixin_42648844的博客
02-17 440
前沿在现有的框架中sql注入已经做得很好了,我们需要做的就是尽量不要使用sql拼接调用java sql注入原因以及预防方案(易理解)1. SQL注入1.1 原理SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。1.2 演示1.2.1 案例1有一个登录框,需要输入用户名和密码,然后我们的密码输入 'or '123' = '123 这样的。我们在查询用户名和...
防止SQL注入的五种方法
我是一只蘑菇17的博客
12-09 2万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。    SQL注入是比...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6475
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
day10:JDBC、SQL注入防止注入、数据库插入时间、IDEA连接数据库、ACID原则、JDBC事务、连接池、dbcp、c3p0、druid,dbutil工具类、springJDBC
m0_45209551的博客
03-28 1165
10、JDBC(重点) 驱动:声卡、显卡、数据库 10.1数据库驱动 我们的程序会通过数据库驱动,和数据库打交道 10.2、JDBC SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC这些规范的实现由具体的厂商去做~对于开发人员来说,我们只需要掌握JDBC接口的操作即可! java.sql javax.sq 导入mysql-connector-java-5.1.49 10.3、第一个JDBC程序 1.建立数据库 CR

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值