应用开发中防止SQL注入采取的应对措施

最新推荐文章于 2023-06-29 11:52:41 发布
最新推荐文章于 2023-06-29 11:52:41 发布
阅读量1.1k 收藏
点赞数
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ustczyy/article/details/20487879
版权

对于上面提到的SQL 注入隐患,后果可想而知是很严重的,轻则获得数据信息,重则可以将数据进行非法更改。那么对这种情况有没有防范措施呢?

1、PrepareStatement+Bind-variable

对Java、JSP 开发的应用,可以使用PrepareStatement+Bind-variable 来防止SQL 注入,另
外从PHP 5 开始,也在扩展的MySQLI 中支持PrepareStatement,所以在使用这类语言作数
据库开发时,强烈建议使用PrepareStatement+Bind-variable 来实现,而尽量不要使用拼接的
SQL,下面以Java 为例说明一下实现方法:

String sql = "select * from users u where u.id = ? and u.password = ?";
preparedstatement ps = connection.preparestatement(sql);
ps.setint(1,id);
ps.setstring(2,pwd);
resultset rs = ps.executequery();

 

2、使用应用程序提供的转换函数

很多应用程序接口都提供了对特殊字符进行转换的函数,恰当地使用这些函数,可以
防止应用程序用户输入使应用程序生成不期望的语句。
 MySQL C API:使用mysql_real_escape_string() API 调用。
 MySQL++:使用escape 和quote 修饰符。
 PHP:使用mysql_real_escape_string()函数(适用于PHP 4.3.0 版本)。从PHP 5 开始,
可以使用扩展的MySQLI,这是对MySQL 新特性的一个扩展支持,其中的一个优点就是支持
PrepareStatement。
 Perl DBI:使用placeholders 或者quote()方法。
 Ruby DBI:使用placeholders 或者quote()方法。

3、自己定义函数进行校验

如果现有的转换函数仍然不能满足要求,则需要自己编写函数进行输入校验。输入验
证是一个很复杂的问题。输入验证的途径可以分为以下几种:
 整理数据使之变得有效;
 拒绝已知的非法输入;
 只接受已知的合法输入。
所以如果想要获得最好的安全状态,目前最好的解决办法就是对用户提交或者可能改
变的数据进行简单分类,分别应用正则表达式来对用户提供的输入数据进行严格的检测和验
证。

 

USTCZYY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析ASP网站SQL注入的防范措施.pdf
09-19
为了防止SQL注入攻击,可以采取以下防范措施: 1. 优化服务器配置:设置IIS服务器时,不使用默认的Web站点,删除不必要的虚拟目录及IIS扩展名映射。将IIS设置为只给出统一的错误提示信息,例如HTTP 500错误,这样...
JAVA 程序使用ORACLE 绑定变量 bind variable
小城故事
09-25 1663
1、为什么要使用绑定变量 <br />      (1)SQL语句硬分析(Hard Parse)太多,严重消耗CPU资源,延长了SQL语句总的执行时间<br />        SQL语句的执行过程分几个步骤:语法检查、分析、执行、返回结果。其分析分为硬分析(Hard Parse)和软分析(Soft Parse)。一条SQL语句通过语法检查后,Oracle 会先去shared pool 找是否有相同的sql,如果找着了,就叫软分析,然后执行SQL语句。硬分析主要是检查该sql所涉及到的所有对象是否有效
什么是bind variable(绑定变量)?
大鱼的专栏
04-19 4132
查询通常只是因为改变where子句的内容而产生不同的结果。为了在这种情况下避免硬解析,需要使用绑定变量(bind variable)。它是用户放入查询的占位符,它会告诉Oracle"我会随后为这个变量提供一个值,现在需要生成一个方案,但我实际执行语句的时候,我会为您提供应该使用的实际值"。    select * from emp where ename=KING; //不使用绑定变量 
Mysql使用SQL的安全问题,Mysql防止SQL注入
芝麻软件工作室的专栏
06-03 2721
SQL注入简述 SQL Injection攻击具有很大的危害,攻击者可以利用它读取、修改或者删除数据库内的数据,获取数据库的用户名和密码等敏感信息,甚至可以 获得数据库管理员的权限。如果能够再利用SQLServer扩展存储过程和自定义扩展存储过程来执行一些系统命令,攻击者还可以获得该系统的控制权。而且,SQL Injection 也很难防范。网站管理员无法通过安装系统补丁或者进行简单的安全
prepareStatement的用法和解释
谭倩倩
02-16 5984
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sq
sql注入安全问题
乱指的博客
12-20 849
概述一下:在日常开发过程,程序员一般只关心SQL是否能实现预期的功能,而对于SQL的安全问题一般都不太重视。实际上,如果SQL语句写作不当,将会给应用系统造成很大的安全隐患,其最重要的隐患就是SQL注入SQL注入(struckture query language injection):结构化查询语言(sQL)是一种用来和数据库交互的文本语言。SQL注入就是利用某些数据库的外部接口将用户
PHP全面阻止SQL注入式攻击分析小结
10-28
9. 数据库审计和监控:定期检查数据库日志,发现可能的SQL注入攻击行为,并及时采取应对措施。 通过这些措施,开发者可以大大降低Web应用程序遭受SQL注入攻击的风险。总之,防止SQL注入需要一个综合的策略,包括...
SQL注入攻击与防护措施研究.pdf
09-19
在实际应用,开发人员需要对SQL注入有充分的认识,并在开发过程采取各种措施来提高代码的安全性。例如,使用参数化查询能够将SQL指令和数据分离,这样即使输入数据包含了SQL代码,也不会被数据库服务器误作为...
型企业Web应用程序SQL注入的检测与防御.pdf
09-19
为了检测和防御SQL注入攻击,首先应当采取措施是在应用程序开发阶段进行代码审计,确保所有的输入验证都遵循最佳实践,例如对输入数据进行严格的类型和格式校验。其次,需要避免在SQL语句直接拼接用户输入。应当...
PHP与SQL注入攻击[三]
10-30
在网络安全日益受到重视的今天,如何有效地防止SQL注入攻击成为开发人员面临的重要课题之一。本文将继续深入探讨PHP与SQL注入攻击的相关知识点,并介绍几种有效的防护措施。 #### 二、数据库自带的不安全输入过滤...
PreparedStatement效率为什么高/为什么要使用PreparedStatement代替Statement
nestazhang的专栏
08-09 812
在JDBC应用,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement. 基于以下的原因: 一.代码的可读性和可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码...
14.MySQL安全问题
姑苏的博客
09-03 486
文章目录1.SQL注入简介2.应用可以采取应对措施2.1PrepareStatement+Bind-variabel2.2使用应用程序提供的转换函数2.3自己定义感受进行校验 1.SQL注入简介 结构化查询语言(SQL)是一种用来和数据库交互的文本语言。SQL Injection就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL),从而达到入侵数据库乃至操作系统的目的。他的产生主要是由于程序对用户输入的数据没有进行严格的过滤,导致非法数据库柴新建语句的的执行。 SQL注入如有很大
preparestatement的插入时间问题
weixin_34357267的博客
09-10 730
2019独角兽企业重金招聘Python工程师标准>>> ...
mysql prepare statement(预处理)
果汁华的博客
08-18 6840
  今天前同事问了一个sql语法优化问题,后来查资料的过程,发现了一个prepare statement 这玩意。使用并测试了下性能,感觉未来能用上。记录下。 当时我在解决一个大表,分页问题。目前的分页sql一般有这几种(原文): --方法1: 直接使用数据库提供的SQL语句 ---语句样式: MySQL,可用如下方法: SELECT * FROM 表名称 LIMIT M,N ---适...
使用bind()和connect()函数
热门推荐
芝麻软件工作室的专栏
06-02 1万+
socket() 函数用来创建套接字,确定套接字的各种属性,然后服务器端要用 bind() 函数将套接字与特定的IP地址和端口绑定起来,只有这样,流经该IP地址和端口的数据才能交给套接字处理;而客户端要用 connect() 函数建立连接。 bind() 函数 bind() 函数的原型为: int bind(int sock, struct sockaddr *addr, sockl
PreparedStatement接口,prepareStatement方法
he_hchx的专栏
04-26 8528
1、public interface PreparedStatementextends Statement表示预编译的 SQL 语句的对象。 SQL 语句被预编译并且存储在 PreparedStatement 对象。然后可以使用此对象高效地多次执行该语句。 注:用来设置 IN 参数值的 setter 方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼
防止SQL注入攻击的10种有效方法
最新发布
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串,以提高应用程序的安全性。
如何在Java应用程序预防SQL注入
allway2的博客
07-22 1596
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文,我们介绍了Java应用程序SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来防止它们。主要思想是,即使我们无法在代码找到所有可能的漏洞——这是处理遗留系统时的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
如何测试WEB应用程序防止SQL注入***
weixin_34221332的博客
08-12 245
摘要:  在WEB应用程序的软件测试,安全测试是非常重要的一部分,但常常容易被忽视掉。在安全测试防止SQL注入***尤其重要。本文介绍了SQL注入***产生的后果以及如何进行测试。关键字:安全测试 SQL 注入*** 防火墙  正文:  WEB应用程序的安全测试,防止SQL注入***,下面举一些简单的例子加以解释。——Inder P Singh。  许多应用程序运用了某一类型的数据库。测试下...
SQL注入攻击:开发与运维的安全挑战
在实际的开发和运维过程应对SQL注入措施包括但不限于: 1. 输入验证:确保用户提交的数据符合预期格式,对特殊字符进行转义或替换。 2. 使用参数化查询或预编译语句:将用户输入视为参数而不是字符串,避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值