预防SQL注入 学习笔记

最新推荐文章于 2024-08-04 19:30:48 发布
最新推荐文章于 2024-08-04 19:30:48 发布
阅读量882 收藏
点赞数
分类专栏: 语言编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaom0_0/article/details/54311073
版权

SQL注入是个老话题,前一段中招了,所以总结了些注意事项,可以快速简单的帮助防止大部分的注入攻击

个人觉得参数化和数据库权限是相对简单和有效的方案。


1Domain Driver Design

       一种设计思想,强调识别可信任和不可信任调用,确认安全防范边界,保证这个边界范围内的操作是可靠的,确保不可靠的调用都在边界外。

       比如一个登陆操作,可能涉及对字符或密码合法性验证,再会有登陆验证,安全边界应该放到字符和密码合法性这层,那么所有的登陆调用操作都应该先合法性验证,在登陆验证。

2、参数化语句:

      注入是在参数传入过程,加入特别语句,以改变sql语义,达到攻击目的。

而参数化是将sql语义与参数分开。这个一般现有的数据库接口都提供这种访问方式,比如prepare.

       代码层的参数化

       存储过程层的参数化

       HTML5的参数化

3、输入验证

       对明确有规范或范围的参数,进行格式化或边界校验。

       白名单

       黑名单

4NOSQL的注入防范也要注意。

       仍然用参数化封装功能,避免动态字符串拼接。

5、数据库中敏感信息隐藏

       比如表名,useraccount等,改成其他的

       比如列明:passwdpwdpassword

 

平台方面:

web应用防火墙(ModSecurity

入侵检测

         错误语句告警。

确保数据库安全:

限制数据库不必要的功能,

清除默认账户

明确数据库帐户权限,控制写权限,

最小化api的帐号权限

web服务

          sql服务分离部署

          隐藏错误提示

          禁用wsdl

 

 

快速应对方案

        运行时保护

       确保数据库安全

        额外的部署

xiaom0_0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件工程师JAVA学习笔记
01-03
【JAVA学习笔记】 在Java学习的道路上,掌握核心概念和技术是至关重要的。这份笔记涵盖了软件工程师在学习Java过程中需要了解的关键知识点,旨在帮助初学者和有经验的开发者巩固基础,提升技能。以下是对这些笔记...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9871
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
在 Node.js 中,如何防止 SQL 注入?
最新发布
有我更精彩的博客
08-04 519
防止 SQL 注入是保护应用程序和数据库安全的重要步骤。我们可以通过参数化查询、ORM 等方式有效地避免 SQL 注入攻击。在实际项目中,建议始终采用这些最佳实践,以提高代码的安全性。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6585
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Mysql优化安全】防止sql注入
weixin_44823875的博客
05-20 6265
Mysql安全】防止sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到防止sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)防范sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
如何防止SQL注入
m0_49521873的博客
05-23 2346
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
SQL ADV的笔记 老师的
04-28
笔记可能会阐述如何创建和管理安全策略,以及如何应对SQL注入等安全威胁。 7. **事务与并发控制**:事务确保数据库操作的原子性和一致性,而并发控制则处理多个用户同时访问数据时可能出现的问题。笔记可能会介绍...
程序员面试宝典笔记总结
05-12
3. **网络安全**:了解SSL/TLS加密协议,以及常见的攻击方式,如DDoS、SQL注入等。 五、数据库 1. **SQL基础**:掌握SQL语句,如SELECT、INSERT、UPDATE、DELETE,以及JOIN操作。 2. **索引与优化**:理解B树和B+...
PHP 笔记001 - 字符串、正则表达式
10-08
字符串处理包括对字符串的...同时,了解并正确使用这些函数,对于预防常见的安全问题,如XSS攻击和SQL注入,也有着至关重要的作用。因此,在学习PHP的过程中,应当重视字符串处理和正则表达式的使用,并不断加深理解。
javaweb 崔希凡全套笔记
08-12
【JavaWeb崔希凡全套笔记】是一份全面深入学习JavaWeb和JavaEE技术的重要资源,由知名讲师崔希凡精心编撰。这份笔记总计涵盖了28天的学习内容,旨在帮助学员系统地掌握JavaWeb和JavaEE的核心知识。下面将详细阐述...
SQL注入攻击与防护
weixin_62707591的博客
06-21 6540
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4973
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
如何避免 SQL 注入?
m0_68464502的博客
06-13 1510
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
2020-10-10
不二的博客
10-10 979
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
SQL注入及其防御
2301_76717406的博客
03-09 1797
sqlmap是一个开源的渗透测试工具,用于自动化检测和利用Web应用程序中的SQL注入漏洞。它被广泛用于安全专业人员和研究人员测试Web应用程序的安全性,并识别潜在的漏洞,这些漏洞可能会被攻击者利用。sqlmap能够检测各种类型的SQL注入漏洞,如盲注、基于错误的注入和基于时间的注入,并可用于提取数据库信息、转储表格,甚至接管底层数据库服务器。sqlmap适用于市面上的大部分数据库;SQL注入是一种常见的网络安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来攻击数据库系统。
Node常见的三种安全防范手段
老司机的后备箱
03-31 313
最近也是在学习 Node 相关的知识, 以上就是关于开发 Node 服务端,常见的三种安全防范手段最后,文中如有错误,欢迎大家在评论区指正,如果本文对你有帮助, 记得和关注❤️如需转载请标明作者和出处最近还整理一份JavaScript与ES的笔记,一共25个重要的知识点,对每个知识点都进行了讲解和分析。能帮你快速掌握JavaScript与ES的相关知识,提升工作效率。有需要的小伙伴,可以点击下方卡片领取,无偿分享。
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 4833
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
Oracle SQL学习笔记:从基础到进阶
"Oracle SQL学习笔记" 这是一份关于Oracle SQL的学习笔记,涵盖了从基础到进阶的各种概念和操作。笔记作者逐步整理了SQL的基本用法,包括SQL的介绍、SELECT查询语句、函数、多表查询、组函数、子查询、数据库设计、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值