什么是SQL注入,如何防止SQL注入?

于 2024-07-30 13:21:27 发布
阅读量453 收藏 10
点赞数 10
文章标签: sql oracle 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71072718/article/details/140788681
版权

1、什么是SQL注入?

        SQL注入(SQL Injection)是一种网络安全漏洞,允许攻击者在应用程序的SQL查询中插入恶意代码。这种攻击通常发生在应用程序没有正确验证或清理用户输入数据的情况下,导致攻击者能够操纵数据库查询,获取、修改或删除敏感信息。

        SQL注入就好比说是我在java中的Dao层通过用户提交的账户密码来连接数据库提取信息,但是用户层在传入数据时可以传入一些特定的恶意代码来让原本的查询sql语句失效甚至入侵。就以一个简单的用户登录的案例来说:

       表结构如下:

        查询代码如下:

Statement statm = conn.createStatement();
String sql = "select * from login where lname=" + username + " and lpwd=" + userpwd;
ResultSet rs = statm.executeQuery(sql);
if (rs.next()) {
	int lid = rs.getInt("lid");
	String lrname = rs.getString("lrname");
	String lsex = rs.getString("lsex");
	String laddr = rs.getString("laddr");
	System.out.println(lid + lrname + lsex + laddr);
} else {
	System.out.println("登录失败,连个账号密码都记不住,你能干啥");
}

        正常登录如下:

        登陆错误如下:

        这段代码是为了登录用户,获取用户信息,但是如果用户传进来的username为恶意代码,则可以直接登录而不需要正确代码,例如:

        此时我输入的是'or 1=1 -- 这个字段,再去sql中把他还原:

         我们就会发现此时他的判断条件成为了等于空或者1=1,这相当于是必定成立的语句,因为1=1永远都等于true,再将后面的条件判断用--给注释掉,就可以完成SQL注入数据入侵。

2、如何防止sql注入

(1)使用预编译的语句(Prepared Statements):如使用?占位符,并通过编程语言的库绑定参数。

        就相当于用占位符来绑定参数,不会和查询语句有拼接冲突的关系。

String sql = "select * from login where lname=? and lpwd=?";
PreparedStatement prepareStatement = conn.prepareStatement(sql);
prepareStatement.setObject(1, username);
prepareStatement.setObject(2, userpwd);
ResultSet rs = prepareStatement.executeQuery();

if (rs.next()) {
    int lid = rs.getInt("lid");
	String lrname = rs.getString("lrname");
    String lsex = rs.getString("lsex");
	String laddr = rs.getString("laddr");
	System.out.println(lid + lrname + lsex + laddr);
} else {
	System.out.println("登录失败,连个账号密码都记不住,你能干啥");
}

        就算使用代码入侵语句也不能改变sql原始逻辑。

 

(2)使用存储过程(Stored Procedures):将SQL代码预先存储在数据库中,并通过参数调用。

(3)验证和清理用户输入:确保用户输入不包含恶意字符或SQL关键字。

(4)使用ORM(Object-Relational Mapping)工具:许多ORM工具会自动处理SQL构建,减少注入风险。

派大星籽
关注
有效防止SQL注入的5种方法总结
09-09
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于防止SQL注入的5种方法,教大家有效的防止sql注入,需要的朋友可以参考学习。
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。 SQL注入的原理是攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而绕过应用程序的安全机制,直接对数据库进行查询或操作。当应用程序没有对用户输入进行适当的验证和过滤时,攻击者可以注入恶意的SQL代码,导致应用程序执行非预期的数据库操作。 具体来说,当应用程序使用动态SQL语句构建查询时,它会将用户输入直接拼接到SQL语句中。如果应用程序没有对用户输入进行适当的验证和过滤,攻击者可以注入恶意的SQL代码片段,改变原始SQL语句的结构和意图。通过注入恶意的SQL代码,攻击者可以绕过应用程序的身份验证、读取敏感数据、修改数据、执行任意命令等。
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.详情介绍
SQL InjectionSQL注入)+SQLMAP
最新发布
qq_59706867的博客
07-13 1536
SQL注入SQL注入),是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被脱裤,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。SQL注入流程拿到一个查询条件的web网页,就需要对输入框做以下的事情1.判断是否存在注入,注入是字符型还是数字型这里给大家说一个骚操作,可以直接判断出是字符型还是数字型注入。
SQL注入 SQL Injection
03-19
SQL注入的知识,SQL注入的知识, 国外的一本详细介绍了SQL注入的一本书
什么是SQL注入?如何防止SQL注入
xv7777666的博客
04-17 1355
这样,恶意用户就会拿到我们数据库的版本和数据库的名字,要知道,在mysql5.0以上会存在一个information_schrma的数据库,这个数据库存放着所有的数据库名,表名,字段名,我们所有数据就会被泄露,严重的,还能对我们的数据进行修改和删除(堆叠查询,将原来的sql闭合,这样就可以直接对数据库进行危险操作 比如 insert drop 有的数据库或者中间件是不支持堆叠查询,具体堆叠查询(注入)就不再细说了)但凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,
SQL注入是什么,如何避免SQL注入
htflll的博客
01-17 2946
SQL 注入(SQL Injection)是发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。 简而言之,SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数
SQl注入以及避免
阿杰的博客
11-16 764
SQL注入 1 、什么是SQL注入 用户输入的数据中SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件为 true,一直得到正确的结果。这种现象称为SQL注入。 2、如何避免SQL注入 由于编写的SQL语句时在用户输入数据,整合后在进行编译。所以为了避免SQL注入的问题,我们 要使SQL语句在用户输入数据之前就以进行编译成完整的SQL语句,在进行填充数据。 3、PreparedStatement【重点】 PreparedStatement继承了Stateme
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
如何防止sql注入
12-14
使用PreparedStatement是防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
SQL注入是什么?如何避免SQL注入
weixin_44231266的博客
11-04 312
SQL注入是什么?如何避免SQL注入
SQL注入及其防御
2301_76717406的博客
03-09 1905
sqlmap是一个开源的渗透测试工具,用于自动化检测和利用Web应用程序中的SQL注入漏洞。它被广泛用于安全专业人员和研究人员测试Web应用程序的安全性,并识别潜在的漏洞,这些漏洞可能会被攻击者利用。sqlmap能够检测各种类型的SQL注入漏洞,如盲注、基于错误的注入和基于时间的注入,并可用于提取数据库信息、转储表格,甚至接管底层数据库服务器。sqlmap适用于市面上的大部分数据库SQL注入是一种常见的网络安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来攻击数据库系统。
如何预防SQL注入
banying4311的博客
08-06 222
归纳一下,主要有以下几点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的...
SQL injection
weixin_30765319的博客
08-02 72
最近自己折腾一个数据库的东西,自己研究了一下SQL injection. SQL injection 看起来还是挺有意思。可以看看youtube 上的一个SQL injection的实例还是比较简单的。http://www.youtube.com/watch?v=MJNJjh4jORY 当然这是最基本的SQL injection了。这种最基本的问题一般都出在query的字段连接上...
SQL Injection
weixin_34175509的博客
06-20 212
Low级别 判断是否存在注入点 输入1提交 输入1 and 1=1提交 SELECT first_name, last_name FROM users WHERE user_id = '1' 输入1 and 1=2提交 由上可以看出是存在注入点的,参数为id SELECT first_name, last_name FROM users WHERE u...
sql injection(sql 注入)
逍遥绝情的博客
05-24 3740
前言当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义成SQL注入SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没
DVWA 之 SQL Injection
baynk的博客
10-29 1700
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ SQL ...
Sql Injection
ivalue的博客
07-26 1171
1:sql 注入:SQL Injection 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 简单来说,就是让服务器获取到你的恶意sql语句,并且执行。     参考 https://blog.csdn.net/chuan442616909/article/details/58653996 https://www.c...
什么是SQL注入?如何防止SQL注入?
05-09
SQL注入是一种针对数据库的安全漏洞攻击方式,攻击者通过构造恶意的SQL语句,使得应用程序在执行SQL语句时,将攻击者所构造的恶意SQL语句也一并执行,从而导致数据泄露或者数据被篡改。 为了防止SQL注入,可以采取以下措施: 1. 使用参数化的SQL语句。这种方式可以在执行SQL语句时,将参数和SQL语句分开,从而避免了攻击者注入恶意代码的可能性。 2. 输入验证。在应用程序中对用户输入的数据进行验证,确保输入的数据符合预期的格式和类型,从而避免了攻击者在用户输入中注入恶意代码的可能性。 3. 最小权限原则。确保应用程序只有执行必要操作的权限,从而减少攻击者可以利用的攻击面。 4. 避免使用动态拼接SQL语句。动态拼接SQL语句是SQL注入攻击的一个主要入口,应该尽量避免使用。 5. 定期更新数据库。定期更新数据库中的软件和补丁,确保数据库的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值