防止sql 注入的方法

最新推荐文章于 2023-03-21 20:53:58 发布
最新推荐文章于 2023-03-21 20:53:58 发布
阅读量237 收藏
点赞数
分类专栏: jbbc javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yezongzhen/article/details/89978524
版权
本文介绍了SQL注入的基本概念、攻击思路及实例,强调了其危害。文章重点讲述了多种防止SQL注入的方法,包括使用PreparedStatement、正则表达式过滤、字符串过滤以及在客户端进行不安全字符屏蔽。提倡通过规范代码和使用预编译语句来有效防御SQL注入攻击。
摘要由CSDN通过智能技术生成

一、SQL注入简介

    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

 

 

二、SQL注入攻击的总体思路

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不通的服务器和数据库特点进行SQL注入攻击

 

三、SQL注入攻击实例

比如在一个登录界面,要求输入用户名和密码:

可以这样输入实现免帐号登录:

用户名: ‘or 1 = 1 –

密 码:

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下:

从理论上说,后台认证程序中会有如下的SQL语句:

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码,上面的SQL语句变成:

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL语句:

最低0.47元/天 解锁文章
学无止境 ’小五
关注
专栏目录
关于防止sql注入问题
LYX_WIN
01-08 474
0. SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 注入攻击的总体思路 寻找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不通的服务器和数据库特点进行SQL注入攻击 1. SQL注入原理 以登录账号为例,要求我们输入账号(userName)和密码(pass...
mybatis防止SQL注入方法实例详解
08-27
MyBatis 防止 SQL 注入方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入方法实例详解...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6713
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止SQL注入
Delete_V的专栏
10-23 1万+
-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..  ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串
防止SQL注入
天使也掉毛
08-11 150
SQL注入是比较常见的网络攻击方式之一,不是BUG是编程逻辑上容易疏忽导致的潜在危险。也是比较常见的老问题了。 作为攻击方,SQL注入的总体思路是这样 1.寻找位置,比如哪个能输入内容的地方。 2.判断服务器类型和后台数据库类型。 3.针对不同的服务器和数据库特点进行SQL注入攻击。 攻击例子 在登录界面里,要求输入用户名和密码: 可以...
怎么防止SQL注入
最新发布
。。。。
03-21 7262
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
PHP中防止SQL注入方法详解
01-20
 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST[‘user_input’]; mysql_query(“INSERT ...
ASP.NET防止SQL注入方法示例
01-20
为了防止SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他防御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
防止sql注入方法
weixin_33882443的博客
06-02 368
1. 打开magic_quotes_gpc来防止SQL注入 SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷, 所以一定要小心。php.ini中有一个设置: magic_quotes_gpc = Off 这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换, 比如把 ' 转为 \'等,这对防止sql注射...
SQL注入 如何防止SQL注入
08-14
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
如何防止sql注入呢?
热门推荐
li_lening的博客
05-21 11万+
sql注入大大降低了网站的安全性!最终达到欺骗服务器执行恶意的SQL命令。 会查出条件不允许的数据,假如是这样的一条sql:$sql="select * from stu where stu_name = $name and stu_email = $password";那么危险来了,注入sql后会变成这样:select * from t_admin where stu_name ='xxx' a...
防止sql注入
weixin_41279532的博客
05-08 261
那么mysql该如何防止sql注入?我们通过以下三种方法进行防治sql注入 1.开启php的魔术模式,,magic_quotes_gpc = on即可,当一些特殊字符出现在网站前端的时候,就会自动进行转化,转化成一些其他符号导致sql语句无法执行。 2.网站代码里写入过滤sql特殊字符的代码,对一些特殊字符进行转化,比如单引号,逗号,*,(括号)AND 1=1 、反斜杠,select union等...
防止SQl注入
上善若水
02-10 783
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值