位置: 编程技术 - 正文

MySQL 及 SQL 注入与防范方法(mysql数据库注入)

编辑:rootadmin

推荐整理分享MySQL 及 SQL 注入与防范方法(mysql数据库注入),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:mysql注入方式,mysql注入5.0以上以下有什么区别,mysql sql注入执行命令,mysqli sql注入,mysql的sql注入,mysql的注入,mysql的注入,mysqli sql注入,内容如对您有帮助,希望把文章链接给更多的朋友!

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。

1.以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 个字符之间:

让我们看下在没有过滤特殊字符时,出现的SQL情况:

// 设定$name 中插入了我们不需要的SQL语句$name = "Qadir'; DELETE FROM users;";mysql_query("SELECT * FROM users WHERE name='{$name}'");

以上的注入语句中,我们没有对 $name 的变量进行过滤,$name 中插入了我们不需要的SQL语句,将删除 users 表中的所有数据。

2.在PHP中的 mysql_query() 是不允许执行多个SQL语句的,但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的,所以我们对这些用户的数据需要进行严格的验证。

防止SQL注入,我们需要注意以下几个要点:

1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装 6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。

MySQL 及 SQL 注入与防范方法(mysql数据库注入)

3.防止SQL注入

在脚本语言,如Perl和PHP你可以对用户输入的数据进行转义从而来防止SQL注入。

PHP的MySQL扩展提供了mysql_real_escape_string()函数来转义特殊的输入字符。

4.Like语句中的注入

like查询时,如果用户输入的值有"_"和"%",则会出现这种情况:用户本来只是想查询"abcd_",查询结果中却有"abcd_"、"abcde"、"abcdf"等等;用户要查询"%"(注:百分之三十)时也会出现问题。

在PHP脚本中我们可以使用addcslashes()函数来处理以上情况,如下实例:

addcslashes()函数在指定的字符前添加反斜杠。

语法格式:

addcslashes(string,characters)

参数 描述string 必需。规定要检查的字符串。characters 可选。规定受 addcslashes() 影响的字符或字符范围。

SQL Server中参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的快速解决方法 parametersniff问题是重用其他参数生成的执行计划,导致当前参数采用该执行计划非最优化的现象。想必熟悉数据的同学都应该知道,产生parametersniff最典

SQL Server 正式版安装配置过程图文详解 本文针对SQL正式版安装过程进行梳理总结,帮助大家顺利安装SQL,具体内容如下1.点击全新安装2.接着就是下一步,下一步...3.选择你要安装的功能[

SQL Server CTP2.2安装配置方法图文教程 SQLServerCTP2.2安装配置教程下载一个iso文件,解压出来(大约2.8G左右),在该路径下双击Setup.exe即可开始安装。安装之前请先安装.NET3.5SP1,在服务器

标签: mysql数据库注入

本文链接地址:https://www.jiuchutong.com/biancheng/318909.html 转载请保留说明!

上一篇:SqlServer存储过程实现及拼接sql的注意点(sqlserver存储过程if语句)

下一篇:SQL Server中参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的快速解决方法(sql参数是什么意思)

  • 期间费用明细表怎么填
  • 小规模能否开利息专用发票?
  • 在业跟续存有什么不一样
  • 收取租车押金怎么做会计分录
  • 培训机构的教材需要教育部门审批吗
  • 小规模不报税会怎么样
  • 电子设备残值率的最新规定
  • 长期负债营运资金比率公式
  • 公司账户被法院冻结了多久可以恢复
  • 从业人数和资产总额是灰色
  • 居民企业核定征收企业所得税的情形有哪些
  • 建筑企业简易计税异地预缴
  • 股票投资会计科目
  • 房租费没有发票怎么做账务处理
  • 进项税额留底月底销项税金如何结转?
  • 出口抵减内销产品
  • 企业利用个体户走账
  • 发票打印机的字偏上
  • 当期损益包括营业外收支吗
  • 2021年沙子水泥税率是多少
  • 增值税普通发票和专用发票有什么区别
  • 总公司给分公司钱
  • 非财政专项资金和其他资金的区别
  • 计提印花税怎么做凭证
  • 总公司与分公司的账务处理销售
  • 老总来公司视察
  • 施工企业代甲方购材料的账务处理?
  • 采购开票税率
  • 开过去的普通发票多久不能冲红?
  • 电子专用发票没有发票代码
  • 开发票没有银行回单可以入帐吗?
  • 苹果官网iPhone12
  • 系统太多怎么办
  • 股权处置的形式
  • 摊余成本计量的金融资产
  • 如何做好税收风险管理工作
  • icm是什么文件
  • windows环境下,ping的功能和使用方法
  • html该怎么学
  • 小规模纳税人免税会计分录
  • thinkphp v5.0.24
  • 公司主营业务怎么介绍
  • 电子专用发票抵扣
  • 小规模纳税人起征点变化历程
  • 计税工资什么意思2019
  • 装修工程是可以做什么的
  • 如何设置固定资产累计折旧增值税进项税额缺损入账科目
  • 年终奖可以税前扣除吗
  • 什么公司可以开普票
  • 房产税征收对象和依据2021
  • 失控发票补缴税款后又被稽查
  • 房地产营业税率是多少
  • 退回资金怎么做账
  • 公司支付给实习生的报酬如何税前扣除?
  • 哪些商业保险可以抵扣个税
  • 预付押金是否可以退回
  • 什么是逐步结转分步法
  • 固定资产增加的方式有
  • window系统怎么截屏屏幕
  • winxp怎么打印
  • centos6安装步骤
  • linux命令总结
  • mac系统有txt吗
  • centos 6.6安装教程
  • 学习计划
  • sku分析的作用
  • css@import
  • python字符串常用方法
  • vue打包页面空白
  • 如何用虚拟号码打电话
  • 网页上面的收藏夹显示
  • 批处理技术有哪些
  • AutoPainting
  • jquery的实现原理
  • 重庆市国家税务局电子税务局官网
  • 江苏社保退工办理流程
  • 税务局风险评估是什么意思
  • 环保税新政策
  • 国家税务总局随州市税务局稽查局
  • 江苏发票认证平台app
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设