防止sql注入

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量362 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou120189162/article/details/80776305
版权

SQL注入
造成SQL注入的原因
SQL注入是通过在SQL语句被数据库解析之前,以修改其语法的形式工作的。只要你在解析语句之前插入动态部分,就存在SQL注入的风险。

动态部分:1、 用户传递进来的参数 2、 有可能是从数据库查询出来的

防止SQL注入的一些方法
转义

防止SQL语句包含任何不匹配的引号的最古老的方法,就是对所有的引号字符进行转义操作,使他们不至于成为字符串的结束符。

比如PDO的quote()函数

查询参数

查询参数的做法是在准备查询语句的时候,在对应参数的地方使用参数占位符。随后,在执行这个预先准备好的查询时提供一个参数。

$stmt = $pdo->prepare('select id,name from user where name = ?');

$params = array($_POST['name']);

$stmt->execute($params);

查询参数的不足:

1. 多个值的列表不可以当成单一参数

        $stmt = $pdo->prepare('select * from user where id in (?)');

        $stmt->execute(array('1,2,3'));

        上面的查询结果和下面的不一样:

        select * from user where id in(1,2,3)

    2. 表名无法作为参数

        $stmt = $pdo->prepare('select id,name from ? where id =12');

        $stmt->execute(array('user'));

        这么做是想将一个字符串插入表名所在位置,但是这是报错的

    3. 列名无法作为参数

        //这是错误的
        $stmt = $pdo->prepare('select ? from ?user where id =12');

    4. SQL关键字不能作为参数

        //这是错误的
        $stmt = $pdo->prepare('select id,name from user order by id ?');

        $stmt->execute(array('desc'));

1.就算是使用预处理插入数据的,也需要转义

因为当你仅仅只是使用预处理执行插入语句,敏感字符是不会被转义的。后果是:在后续的查询中动态地使用未转义的数据也是有风险的。

$sql = 'select * from user where id = 3';

 $row = $pdo->query($sql)->fetch(2);

 //$row['name']值为 o'jack就会导致执行错误。
 //当$row['name']值为 ' or 1=1;#  就会将表的所有数据查询出来
 $sql = "select * from user where name = "."'{$row['name']}'";

 $stmtObj = $pdo->query($sql);

对策: 所以不管是不是用户传递过来的参数,最好也使用预处理的方式来执行查询语句

2.检查输入的数据是否具有所期望的数据格式

$sql = 'select id,name from user where id > ?';

//这个时候,保证传递进来的一定是一个数字
$stmt = $pdo->prepare($sql);
$params = array(
    intval($_GET['id'])
);
$stmt->execute($params);

预处理原理
1.数据库首先会解析准备好的SQL查询语句,在完成这一步操作之后,就没有任何方法能够改变那句SQL查询语句的结构。
2.在执行一个已经准备好的SQL查询语句时,需要提供对应的参数,每个你提供的参数都对应预先准备好的查询语句中的一个占位符
3.重复执行这个预先准备好的查询语句,只需要使用新的参数替换老的参数就行。

将用户与代码隔离
预处理(查询参数)和转义字符能够帮助你将字符串类型的值插入到SQL中,但这些技术在需要插入表/列名或者SQL关键字的时候不起作用。
问题:

$sortOrder = $_GET['sort'];//用户传递过来的

//直接将用户传递过来的数据,拼接成SQl语句,不安全。
$sql = "select id,name from user order by $sortOrder";

解决:

将请求的参数作为索引值去查找预先定义好的值,然后用这些预先定义的值来组织SQL查询语句。

$sortCondition = array(
    'up' => 'ASC',
    'down' => 'DESC'
);


//当需要倒序,用户传递down
$sortOrder = $_GET['sort'];//用户传递过来的数据

if (array_key_exists($sortOrder, $sortCondition) ) {

    $sort = $sortCondition[$sortOrder];
} else {
    $sort = 'DESC';
}

//现在$sort这变量就是安全的了,因为他只能是$sortCondition预先定义的值
$sql = "select id,name from user order by $sort";

审查代码

1.找出所有使用了程序变量、字符串连接或者替换等方法组成的SQL语句

2.跟踪在SQL语句中使用的动态内容来源。找出所有外部的输入,比如用户输入、文件、系统环境、网络服务、第三方代码、,甚至从数据库中获取的字符串

3.假设任何外部内容都是潜在的威胁。对于不受信任的内容都要进行过滤,验证或者使用数组映射的方式来处理(参考“将用户与代码隔离”)

4.在将外部数据合并到SQL语句时,使用查询参数,或者用稳健的转义函数预先处理

5.别忘了在存储过程的代码以及任何其他使用SQL动态查询语句的地方做同样的检查

最後的悲伤
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6457
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入的四种方案
dehuisun的专栏
09-05 9479
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
如何防止SQL注入
m0_49521873的博客
05-23 2325
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
怎么防止SQL注入
。。。。
03-21 6973
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
如何避免 SQL 注入
m0_68464502的博客
06-13 1450
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
四种防止SQL注入的解决方案
最新发布
weixin_43702295的博客
01-11 4090
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
防止SQL注入的五种方法
WWW_ZZZ_JJJ_LLL的博客
04-01 1万+
一、SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。   SQL注入是比较常见的网络攻击方式之一...
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2321
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
SQL注入-绕过SQL通用防注入系统
Jiajiajiang_的博客
11-08 2811
当我们输入特殊字符,类似于单引号,and,or等时,经常会被注入系统拦截,并且这种是没有记录日志的。 现在我们尝试绕过,get型的请求会被拦截,那post呢。 emmm....也被拦了 这个站点是asp的,那我们尝试用cookie传参, 我们发现没有被防注入系统拦截。 因此构造sqlmap语句 sqlmap.py -u "http://www.xxxxx.com/...
SQL注入防御之三——SQL语句预处理(PHP)
心有猛虎,细嗅蔷薇!
08-26 8142
这篇文章将会告诉你,PHP怎么使用SQL语句预处理,预处理语句有什么优点,以及分析预处理语句如何防止SQL注入
jquery 防sql注入方法
萧刚
03-29 2623
function injectChk($sql_str) { //防止注入         $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);         if ($check) {             echo('非法
java 防止sql注入
09-19
Java中有几种方法可以防止SQL注入。一种常见的方法是使用PreparedStatement。PreparedStatement是预编译的SQL语句,可以在执行之前将输入参数作为参数绑定到SQL语句中,而不是将输入参数直接拼接到SQL语句中。这样...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值