位置: 编程技术 - 正文

防御SQL注入的方法总结(防御sql注入的方法有哪几种)

编辑:rootadmin

推荐整理分享防御SQL注入的方法总结(防御sql注入的方法有哪几种),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:防御sql注入的方法有哪几种,防御sql注入的方法有哪几种,防sql注入最有效的方法是,防御sql注入手段,防御sql注入的方式,防御sql注入的方法,防御sql注入的方法有哪几种,防御sql注入的方法有哪几种,内容如对您有帮助,希望把文章链接给更多的朋友!

SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。

SQL 注入可以参见: 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。

1. 演示下经典的SQL注入

Notice: Undefined index: CMSdown in /data/webroot/gcms/lib/Api/Open/Article.php on line img////_da.png" alt="查看图片" />

我们看到:select id,no from user where id=2;

如果该语句是通过sql字符串拼接得到的,比如: String sql = "select id,no from user where id=" + id;

其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2, 那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1 进行sql注入攻击,

那么看到,上面的语句(select id,no from user where id=2 or 1=1;)将user表中的所有记录都查出来了。

这就是典型的sql注入。

再看一列:

Notice: Undefined index: CMSdown in /data/webroot/gcms/lib/Api/Open/Article.php on line img////_dcc8.png" alt="查看图片" />

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉!可见其危害!

防御SQL注入的方法总结(防御sql注入的方法有哪几种)

2. sql 注入的原因

sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。

但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。

比如上面的 String sql = "select id,no from user where id=" + id;

我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 并没有作为 where id= 的字面值,而是作为了 sql语句 来执行的。所以其本质是将用户的输入的数据,作为了命令来执行。

3. sql注入的防御

1> 基本上大家都知道 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。但是其中的深层次原因就不见得都理解了。

如上所示,就是典型的采用 sql语句预编译和绑定变量 。为什么这样就可以防止sql 注入呢?

其原因就是:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=&#;" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。

2> 但是不是所有场景都能够采用 sql语句预编译,有一些场景必须的采用 字符串拼接的方式,此时,我们严格检查参数的数据类型,还有可以使用一些安全函数,来方式sql注入。

比如 String sql = "select id,no from user where id=" + id;

在接收到用户输入的参数时,我们就严格检查 id,只能是int型。复杂情况可以使用正则表达式来判断。这样也是可以防止sql注入的。

安全函数的使用,比如:

ESAPI.encoder().encodeForSQL(codec, name)该函数会将 name 中包含的一些特殊字符进行编码,这样 sql 引擎就不会将name中的字符串当成sql命令来进行语法分析了。

注:

实际项目中,一般我们都是采用各种的框架,比如ibatis, hibernate,mybatis等等。他们一般也默认就是sql预编译的。对于ibatis/mybatis,如果使用的是 #{name}形式的,那么就是sql预编译,使用 ${name} 就不是sql预编译的。

标签: 防御sql注入的方法有哪几种

本文链接地址:https://www.jiuchutong.com/biancheng/347710.html 转载请保留说明!

上一篇:用户 gimoonet 登录失败。原因: 该帐户的密码必须更改(用户登陆login什么意思)

下一篇:数据库设计三大范式简析(数据库设计三大范式)

  • 企业所得税汇算清缴退税怎么做账
  • 利息按月计提分录
  • 旅游服务小规模差额征税申报表怎么填
  • 管理费里面可以取现金吗
  • 银行回单日期晚于做账日期
  • 收到投资款怎么做会计凭证
  • 以前年度税款需要交税吗
  • 被投资方减资的会计处理
  • 用友如何取消月末结转
  • 专利费代缴
  • 拆迁补偿款上交财政
  • 一般纳税人只交进项税吗
  • 残保金超比例奖励
  • 销售不同税率的货物会计处理
  • 企业进行股票买入的条件
  • 劳动仲裁是怎样仲裁公司的
  • 公司成本票不够交税多少
  • 分工分类法
  • 开发转产品好转吗
  • 维修材料属于什么会计科目
  • 主营业务收入增速怎么算
  • 运费营改增时间
  • 摊销费用多做如何做账?
  • 汇算清缴账务
  • bois如何设置启动项
  • 政府授权国企为基建项目建设单位
  • 有限责任公司注册要求
  • 当月制造费用转生产成本
  • macbook显示隐藏文件
  • 坏狼变身记简介
  • windows为什么从7开始
  • searchnavversion.exe - searchnavversion是什么进程 作用是什么
  • win11专业版和家庭版哪个更流畅
  • 不动产进项税额转出计算公式
  • 增值税最高开票限额审批时限
  • 公司转让股权交不交增值税
  • 支付投资款怎么做账
  • zendstudio怎么创建php项目
  • 应付票据抵付应付账款会计分录
  • php解析配置文件
  • 代发工资如何计算
  • 非货币性资产投资的会计处理
  • 事业结余对应政府会计哪个科目
  • python获取字符串中汉字的个数
  • 住宿费可以抵扣进项吗
  • 补充医疗保险会查hiv吗
  • mybatis模糊查询特殊字符处理
  • python3 静态方法
  • 开具利息收入发票需不需要有经营范围
  • sqlceil函数用法
  • etc插卡成功有什么反应
  • 个人与公司交易需要纳税吗
  • 政府补助会计核算
  • 已认证的红字发票要给购买方吗
  • 总公司可以给子公司开票吗
  • 商贸企业涉税问题
  • 契税在计算利润时不扣除吗
  • 工会经费补缴的流程
  • 企业租赁厂区的管理制度
  • ubuntu搭建nginx服务器教程
  • centos8 redhat
  • 迅雷看看电脑版 下载
  • vim删除^m
  • 注册win7账号
  • linux跨服务器调用shell脚本
  • 遮罩层在上还是在下
  • javascript全选反选
  • kotlin开发安卓教程
  • 修改windows server2012服务器密码
  • python干嘛用
  • unity soket
  • jquery mobile demo
  • javascript几种类型
  • Android系统启动负载均衡
  • javascript中this的用法
  • js实现的奥运倒计时时钟效果代码
  • 增值税税控开票软件密码不知道了怎么办
  • 税务总局各司领导名单
  • 投资联营的房产税纳税人是谁
  • 单位名称变更后发票还能用吗
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设