SQL 注入

最新推荐文章于 2024-09-02 07:02:10 发布
最新推荐文章于 2024-09-02 07:02:10 发布
阅读量547 收藏
点赞数
分类专栏: 数据库 文章标签: sql search null 存储 文档 table


SQL注入就不用介绍了,网上很多。下面介绍一下防止 SQL注入的方法。

使用 quotename 函数和 sp_executesql

参考如 下表结构:这是一个文档表里面有一些简单的字段信息

CREATE TABLE [dbo] . [DocumentInfo] (

    [ID] [int] IDENTITY ( 1, 1) primary key  NOT NULL,-- 主键

    [Name] [varchar] ( 100) NOT NULL,-- 文档名字

    [FunctionID] [int] NOT NULL -- 功能 ID 外键

    [TypeInfo] [nvarchar] ( 2000) NULL— 描述信息

我们可能会按,主键 ID,文档的名字,功能 id 描述信息进行查询 ,这个一看就是拼接 sql语句,如果不用上面的方法很可能造成 sql注入

例如你写的存储过程可能如下:

CREATE proc  [dbo] . [Doc_search]

(

@ID int ,

@name varchar ( 10),

@FID int ,

@Info nvarchar ( 20)

)

as

begin

declare @sql varchar ( 300)

set @sql = 'select * from [DocumentInfo] where 1=1'

if @ID <>- 1

set @sql = @sql + ' and ID=' + CAST ( @ID as varchar )

if @name <> ''

set @sql = @sql + ' and name=''' + CAST ( @name as varchar ) + ''''

if @FID <>- 1

set @sql = @sql + ' and [FunctionID]=' + CAST ( @FID as varchar )

if @Info <> ''

set @sql = @sql + ' and [TypeInfo] like ''%' + CAST ( @Info as varchar )+ '%'''

print @sql

end

exec ( @sql )

虽然你用了带参数的存储过程 ,但本质上还是拼接字符串,没有有效的防治 sql注入。现在 分别用 quotename()函数和 sp_executesql Quotename()函数不知道用的请自行查找, sp_executesql的用法 见上一篇动态 sql

Quotename改进如下:

alter proc  [dbo] . [Doc_search]

(

@ID int ,

@name varchar ( 10),

@FID int ,

@Info nvarchar ( 20)

)

as

begin

declare @sql varchar ( 300)

set @sql = 'select * from [DocumentInfo] where 1=1'

if @ID <>- 1

set @sql = @sql + ' and ID=' + CAST ( @ID as varchar )

if @name <> ''

set @sql = @sql + ' and name=' + QUOTENAME ( @name , '''' )

if @FID <>- 1

set @sql = @sql + ' and [FunctionID]=' + CAST ( @FID  as varchar )

if @Info <> ''

set @Info = '%' + @Info + '%' ;

set @sql = @sql + ' and [TypeInfo] like ' + QUOTENAME ( @Info , '''' )

print @sql

end

exec ( @sql )

但这种方法碰到字段是 Int类型的就会失效

所以推荐使用 sp_executesql 改进存储过程如下:

alter proc  [dbo] . [Doc_search]

(

@ID int ,

@name varchar ( 10),

@FID int ,

@Info nvarchar ( 20)

)

as

begin

declare @sql nvarchar ( 300)

set @sql = N'select * from [DocumentInfo] where 1=1'

if @ID <>- 1

set @sql = @sql + ' and ID=@ID'

if @name <> ''

set @sql = @sql + ' and name=@name'

if @FID <>- 1

set @sql = @sql + ' and [FunctionID]=@FID'

if @Info <> ''

set @Info = '%' + @Info + '%' ;

set @sql = @sql + ' and [TypeInfo] like @Info'

print @sql

end

exec sp_executesql @sql , N'@ID as int,@name as varchar(10),@FID as int,@Info as nvarchar(20)' , @ID , @Name , @FID , @Info

这样参数化才是真的参数化 注意 like的用法。用 ’’Sql注入第一种 然后再 注入第三种会发现得不到你想要的结果。 sp_executesql 还是 非常有用的 下一篇介绍 sp_executesql 怎样实现比较通用的分页存储过程

 

转自:http://www.cnblogs.com/wzpo/archive/2010/05/13/1734771.html

xianyiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DynamicWebTWAIN 6.0 破解
09-21
DynamicWebTWAIN 6.0 破解 最好的扫描控件 最新版破解
MatriXay1073汉化
04-12
明鉴WEB应用弱点扫描器(简称:MatriXay 1073)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。
MatriXay1073
08-01
Sql注入攻击检测工具,Sql注入攻击检测工具,Sql注入攻击检测工具
MatriXay 安全
12-03
扫描web漏斗
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
最受欢迎的十大WEB应用安全评估系统
weixin_34085658的博客
04-10 1108
在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明:   同时说明下:本排序不代表游侠(www.youxia.org)眼中的厂商或工具实力排名。   ...
SQL注入攻击与PreparedStatement
eve8888888的博客
12-31 308
这几天在学习JDBC,一开始用的是Statement,后来一位老师给我们讲课时用的是PreparedStatement,一开始只是觉得PreparedStatement方便了很多,不用反复拼接SQL语句,只需要用?占位就可以了。无聊时百度了一下这两个的区别,才发现PreparedStatement要比Statement强大很多,而且在程序中要使用PreparedStatement。 先来说说为什...
MySQL数据库增删查改(基础)CRUD
最新发布
chendemingxxx的博客
09-02 547
比如说:创建一张学生表,有姓名,学号。插入两个学生。可能有点草率看看例子: 顺序不是问题,后面参数和前面括号参数对等就行。比如说上面的例子:把id和name参数倒过来了,后面参数一一对应也可以。不推荐使用全列查询原因:比如说上面例子我只要id或者说只要name;当然也可以查询多个列: 比如说我们创建一个这样的表命令:第一个 效果:第三个总分效果:拓展一个现象: 拓展:语法:比较运算符:逻辑运算符:解释:%在mysql这里代表的是多个任意字符,_代表的是 一个任意字符。揭晓来才是修改硬盘里面的内容。案例:
PostgreSQL遍历所有的表并为其创建基于某个字段的索引
致力于互联网、物联网领域知识内容分享
08-29 562
以下以"collect_time"字段为例,其他字段请自行全局替换。
sql-labs51-55通关攻略
m0_75036923的博客
08-30 806
1'and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() ),0x7e),1) --+' and updatexml(1,concat(0x7e,(select group_concat(column
一步迅速了解Spring框架
ymr1843762281的博客
08-28 533
将程序中的一些公共的非业务代码分离提取出来,然后在业务代码执行的时候,给他们横切进来,使用的动态代理的机制实现,在我们的业务代码,不显示调用,但是执行业务代码,会通过代理对象,调用非业务代码。以前我们在程序中需要对象,都是自己new,例如:new StudentDao对象,Spring 是一个轻量级的,IOC 和 AOP 的一站式 Java 开发框架,是为了简化企。除了核心的IOC和AOP功能之外,还对数据访问层,web层都有封装,所以是一站式的。inversion of Control 控制反转。
在Postgresql中计算工单的对应的GPS轨迹距离
专注GIS软件开发。
08-30 714
在某个App开发中,要求记录用户的日常轨迹,在用户巡逻设备的时,将记录的轨迹点当做该设备巡逻时候的轨迹。由于业务逻辑上没有明确的指示人员巡逻工单-GPS位置之间的关系,所以通过时间关系进行轨迹划定。
【解决】sql中包含问号(?),导致mybatis解析错误
奔跑的菜鸟的Run博客
08-30 355
被替换了 而不是 我们参数 ,参数的位置还是空的。下面给出两种我测试都可以的方案,但是个人比较推荐第二种方案。这个sql在我们的sql连接器中执行是完全没问题的,但是在mybatis中使用这个sql的时候。也就是在问号的前面多加一个问号,这样就能解决了。会被mybatis当作占位符 替换成参数。给解析成变量 导致sql查询失败。解析参数会把 sql语句中的。sql语句中本身包含。使用pg数据库内置函数。
PostgreSQL技术内幕6:PostgreSQL索引技术
qq_40529346的博客
09-01 1901
本文主要介绍PG的索引技术,包含PG支持的索引类型,语法,查看方式,以及其中B-Tree索引的原理解析和源码解读。
SQL注入攻击技术详解
"SQL注入实战教程,涵盖ACCESS、MySQLSQL SERVER和ORACLE的注入技巧,由讲师闵海钊讲解,内容包括注入点检测、表名和列名的猜解、长度判断等。" SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值