什么是sql注入攻击?

最新推荐文章于 2024-05-28 17:37:01 发布
最新推荐文章于 2024-05-28 17:37:01 发布
阅读量235 收藏
点赞数 2
分类专栏: java 网络安全 文章标签: sql oracle 数据库 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50076754/article/details/138448406
版权
本文讲述了SQL注入攻击的概念,强调了未对用户输入数据进行有效处理可能导致的安全风险。提出了防御措施,如参数化查询、最小权限原则、使用ORM框架、输入验证、错误信息加密以及定期修复漏洞等关键点。
摘要由CSDN通过智能技术生成

什么是sql注入攻击?
就是在对用户的输入的数据没有进行很好的处理,从而导致输入变成了sql语句的一部分了,正常来说用户输入的数据只是参数,但是不是的
举个例子吧
比如在登录的时候,用户名是fjg,密码是123456,但是黑客了,不知道密码,但是知道你sql的相关处理的不好,黑客这样操作?
Hacker(黑客)在用户名输入fjg,重点是密码输入:123456 or 1=1, 这样无论密码是否正确,那么hacker都是可以进入系统,因为这样的sql查询变成了 select * from user where username=fjg and password=123456 or 1=1, 1=1作为一个语句而不是参数哦,这样无论密码是什么,那么hacker都可以登录了,随后可能会发生hacker对数据进行删除或者篡改或者数据盗取,这样特别严重,数据是非常值钱的,这个我在之前的博客说明白了
那么该如何应对了?
1.参数化查询
用户输入的数据都作为参数处理,而不是语句
2.用户权限最小化:
对于数据库的用户只拥有最小的权限
3.使用orm框架
比如使用MyBatis或者MybatisPlus,框架会辅助你写出高质量的代码
4.输入验证和过滤:
对于用户输入的数据进行严格的验证和过滤,不合格的数据不进行处理
5.错误信息掩盖:
对于数据库发生的错误信息,必须要放在日志,而不是给用户,这样Hacker看到了有麻烦了,所以具体的错误信息写在日志里面,对日志进行加密
6.定期修复:
定期修复系统或者数据库的漏洞

拼搏奋斗,无悔于青春
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是SQL注入攻击?
南_茗的博客
05-18 4233
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
SQL 注入式攻击的本质
09-11
SQL 注入式攻击,又是注入式攻击,没想到2008年这个老掉牙的东西又出来搅风搅雨
什么是“SQL注入攻击”?如何预防和应对?
最新发布
05-28 1253
SQL注入攻击是一种针对数据库驱动的应用程序的攻击技术,其中攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,试图非法访问、操作或破坏后端数据库。当应用程序不正确地处理用户输入,并将其直接拼接到SQL查询中时,就可能发生这种攻击。恶意的SQL代码是指在应用程序中执行的具有恶意目的的SQL语句。以下是一些可能的恶意SQL代码的例子:SQL注入攻击攻击者通过在应用程序输入框中注入恶意的SQL代码,从而可以访问和修改数据库中的数据。
什么是SQL注入攻击,解释如何防范SQL注入攻击
fengyege的博客
08-30 4545
SQL注入攻击是一种常见的网络攻击方式,攻击者通过在Web应用程序的查询语句中插入恶意代码,从而获取数据库中的敏感信息或者执行其他恶意操作。使用参数化查询:使用参数化查询可以避免攻击者通过查询语句中的参数注入恶意代码。参数化查询是一种预编译的查询语句,它通过传递参数而不是直接执行查询语句来执行查询。过滤输入数据:在接收用户输入的数据时,应该对数据进行过滤,删除非法字符和特殊字符。可以使用正则表达式或者白名单过滤器来过滤数据。
SQL 注入攻击介绍
代码星辰的博客
03-12 4663
SQL 注入攻击介绍
什么是SQL注入攻击SQL注入攻击原理是什么?
oldboyedu1的博客
11-24 791
SQL语法中直接将用户数据以字符串拼接的方式直接填入SQL中,那么极有可能直接被攻击者通过注入其他语句来执行攻击操作,其中通过执行注入的SQL语句可以执行:获取敏感数据、修改数据、删除数据库表等等风险操作。SQL注入攻击网络安全中非常常见的攻击方式之一,该攻击隐蔽性好、危害大、操作方便,也是各大企业及站长最容易遇到的攻击方式。4、限制目录权限:服务器管理员还应在IIS中为每个网站设置好执行权限,web目录应至少遵循可写目录不可执行,可执行目录不可写的原则,在此基础上,对各目录进行必要的权限细化。
实例讲解SQL注入攻击
02-26
SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
SQL注入攻击与防御
07-17
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击与防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击与防御》作者均是专门研究SQL注入安全专家,他们集众家之长,对应用程序的...
基于joomlad的SQL注入攻击.pptx
01-05
基于joomlad的SQL注入攻击SQL注入攻击是:黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。相当大一部分程序员在编写代码的时候,没有对用户输入...
com.mysql.cj.exceptions.CJCommunicationsException
weixin_50076754的博客
03-27 3008
Caused by: com.mysql.cj.exceptions.CJCommunicationsException: The driver was unable to create a connection due to an inability to establish the client portion of a socket.
java.lang.IllegalArgumentException: argument type mismatch
weixin_50076754的博客
04-19 1472
java.lang.IllegalArgumentException: argument type mismatch
java中Scanner中的next和nextLine方法
weixin_50076754的博客
07-14 1373
对于Java中Scanner中的next和nextLine俩个方法的解释 next是以空格结束 而nextline是以回车结束 import java.util.Scanner; public class Test1 { public static void main(String[] args) { Scanner in=new Scanner(System.in); System.out.println(“请输入年龄”); int age=in.nextInt(); System.out.print
Maven出现了到不到jdbc驱动类
weixin_50076754的博客
02-22 1100
问题如下: 一般出现这样的我问题是: 1.Mysql的版本和jdbc连接的版本不匹配 注意:mysql8的Class配置为Class.for(“com.mysql.cj.jdbc.Driver”) mysql5的为Class的配置为Class.forname(“com.mysql.jdbc.Driver”) 2.没有把相关的jar导入 我的问题很诡异,后来我发现是自己的Maven的pom有问题, 后来重新创建了一个javaweb的Maven项目,把其中的pom复制到原来项目就解决了这个问题, 我觉得就是自
数据库连接池总结
weixin_50076754的博客
03-27 1074
数据库连接池
缓存穿透的解释
weixin_50076754的博客
04-20 764
4.布隆过滤器:就是在到达缓存或者数据库之前,用布隆过滤器,来查看其是否存在,如果不存在其肯定不存在,但是其判断存在就不太确定了,可能真的存在也可能真的不存在,布隆过滤器的底层是hash(哈希),但是其效果依旧很好了!1.缓存空对象:对于大量的同一个查询进行设置为key-null,设置时间为30秒,避免短时间大量的重复恶意查询,保护数据库,不至于崩。就是一个数据在缓存和数据库中都不存在,但是还是被大量查询,导致数据库承受不了,直接崩了。1.恶意用户多次查询同一个数据。
Tomcat出现404极其特殊的一种情况
weixin_50076754的博客
12-02 644
Tomcat出现404极其特殊的一种情况
Servlet报405错误以及servlet的生命周期
weixin_50076754的博客
02-18 472
学习servlet,准备对servelet进行测试 然后出现了很多问题, 第一个问题: 就是Maven那个pom文件在,但是右边那个Maven的小图标就没有了 怎么解决? 鼠标右键点击那个pom文件,然后选择最后的那个add as Maven就好了,如果没有那个,pom中所有的依赖都是不能用的 第二个问题: 出现HTTP Status 405 – 方法不允许 后来发现是自己在servlet中的doPost和doGet方法自己额外写了东西,但是那个 super.doPost(req,resp); supe
如何解决热key问题
weixin_50076754的博客
04-20 450
什么是热key问题?就是一个key的数据被大量访问,导致key所在节点的redis服务器承受巨大的压力甚至导致服务器直接崩了,这种情况如何解决了?讲所有的redis节点弄成一个哈希环,然后通过哈希散列,将热key均匀地散列到各个节点,从而解决热key的单个节点压力过大或者崩的局面。根据特定的规则,将数据进行切片,将数据均匀地分布在各个缓存节点,从而避免单个节点的压力过大或者直接崩了的局面!通过在业务刚启动或者在业务的低峰期的时候,直接经常需要访问的数据从数据库加载到缓存中,让请求访问数据库
什么是sql注入攻击
05-16
SQL注入攻击是指攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而使应用程序执行非预期的SQL查询或命令。攻击者可以利用SQL注入漏洞来窃取、修改或删除数据库中的敏感数据,甚至可以完全控制应用程序和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值