记一次防止SQL注入引起的生产问题

最新推荐文章于 2021-08-05 20:27:09 发布
最新推荐文章于 2021-08-05 20:27:09 发布
阅读量157 收藏
点赞数
分类专栏: bug人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y41992910/article/details/106364259
版权

记一次防止SQL注入引起的生产问题
最近在生产系统上遇到了一个问题.
在前后端代码都没有修改的情况下,某个用@RequestBody ADTO接受请求参数的接口,突然报错了
错误信息大概是说,入参xxxupdateXXX,在 ADTO中找不到对应的属性.
ADTO中有属性xxxUpdateXXX,就是差了一个大写一个小写.
但是抓包看前端的入参,确实是xxxUpdateDate但是到了请求里面,不知道怎么变成小写的了.
然后听另外一个同事说,她那边也有select从大写被替换成小写的问题.
才反应过来,两个都是sql关键字,那么应该是在SQL处理的环节出现了问题,
咨询了同事,才知道最新系统为了防止SQL注入,对请求入参中的所有包含有SQL关键字的地方,都做了处理,但是他们的方案是有问题的,是简单粗暴的对所有请求入参中的所有字符串,都做了替换.
所以导致了我们这个问题.

这个问题其实应该更好排除出来.还是思维方式不够正确,没有遵循我们之前的排除问题的分析方法

从问题的原因入手:分析字段得知,只有Update字段,会被修改成update,而其他的字母有大写也没有被替换.
所以得出第一个结论
1.只对Update字段做了变小写处理
2.从Update中应该得知,update是属于SQL关键字.问题应该出现在SQL相关配置中.
3.从前端入参正确,后端接受改变,应该能推导出来,是后端某个拦截器之类的,对入参做了Update的处理,所以就应该是SQL注入过滤器等.

y41992910
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何防止SQL注入
lmseo5hy的博客
03-21 416
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可能发生SQL注入安全问题,那么,如何防止SQL注入呢?针对SQL注入安全问题的预防,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,符合条件的可以写入数据...
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
常见的web漏洞及其防范
热门推荐
恒之传说
08-04 1万+
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位...
java mysql 注入攻击_SQL注入攻击原因及预防
weixin_32239819的博客
01-27 148
前言客户测试反馈说我们的代码有SQL注入的风险,查了一下确实有一处。咱来说说SQL注入问题SQL注入到底是什么SQL注入是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注...
SQL注入原理与解决方法
jayxu无捷之径的博客
08-04 1万+
一、什么是sql注入? 1、什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注
如何防止SQL注入.pdf
最新发布
04-02
参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,...
discuz的php防止sql注入函数
12-17
标题中的"discuz的php防止sql注入函数"指的是Discuz!这款开源的社区论坛软件中用于防范SQL注入攻击的一系列函数。SQL注入是网络安全中一个常见的威胁,它允许攻击者通过输入恶意的SQL代码,欺骗数据库执行非授权的...
防止xss和sql注入:JS特殊字符过滤正则
12-01
XSS(Cross-Site Scripting)和SQL注入是两种常见的网络安全威胁,主要针对Web应用程序。XSS攻击允许攻击者在用户浏览器中注入恶意脚本,从而控制用户与网站的交互,而SQL注入则是通过在输入数据中嵌入SQL命令,以...
防止sql注入解决方案
12-07
预编译语句在执行前会先编译,然后多次执行时只需替换参数,这不仅提高了性能,还能有效防止SQL注入。使用预编译语句时,SQL语句的结构是固定的,只有参数是可以改变的。例如,在Java中,可以这样使用...
sql注入过滤字典.txt
10-15
5. **使用ORM框架**:现代的ORM框架通常内置了安全机制来防止SQL注入。 6. **定期审计**:定期进行代码审计,检查潜在的安全漏洞。 通过以上介绍,我们可以了解到SQL注入过滤字典中包含了各种特殊字符和关键词,...
域名后斜杠试探服务器信息防注入,防止SQL注入
weixin_30433715的博客
08-05 339
一、防止SQL注入什么是SQL注入攻击?所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。寻找SQL注入的方法:1.通过get请求2.通过post请求3.其他http请求,如cookie常见的SQL注入问题:数据库查询参数的类型转换处理1. 转义字符处理不当Talk is cheap,Show me the code....
SQL防注入
weixin_44693449的博客
10-28 416
SQL 防止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
【SQL】SQL 注入攻击和预防
bandaoyu的note
04-06 748
预防SQL攻击措施 如何预防SQL注入? 这是开发人员应该思考的问题,作为测试人员,了解如何预防SQL注入,可以在发现注入攻击bug时,对bug产生原因进行定位。 1)严格检查输入变量的类型和格式 对于整数参数,加判断条件:不能为空、参数类型必须为数字 对于字符串参数,可以使用正则表达式进行过滤:如:必须为[0-9a-zA-Z]范围内的字符串 2)过滤和转义特殊字符 在user...
网络攻击(SQL攻击、XSS、CSRF、DDos)
哈尼熊熊的博客
03-14 4098
1)   SQL注入攻击(SQLInjection)攻击方法: 攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防范方法: 1.      检查变量数据类型和格式,过滤特殊语句和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。2.   ...
SQL注入问题以及解决方法
spsglz的博客
11-11 1220
sql注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 -- 代码中的SQL语句 "SELECT * FROM user WHERE name='" + name + "' A...
Hadoop源码分析笔(NameNode启动流程)
美美的大猪蹄子的博客
10-15 349
一、准备工作 安装idea 下载hadoop源码 https://archive.apache.org/dist/hadoop/common/hadoop-2.7.0/hadoop-2.7.0-src.tar.gz 将源码导⼊idea⼯具(直接导⼊即可,具体方法百度) 二、开始!冲! (一)NameNode启动流程 跟踪NameNode启动的主流程源码 1) Ctrl + N 搜索类名 NameNode,查看类注释,line 133 /**********************************
如何防止SQL注入攻击
04-14
为了防止SQL注入攻击,可以采用以下措施: 1. 对用户输入进行严格过滤,限制输入类型和长度,禁止输入特殊字符。 2. 使用参数化的SQL语句,将用户输入作为参数传递给SQL查询,而不是将用户输入直接拼接到SQL语句中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值