预防SQL注入笔记

于 2025-02-10 21:41:19 发布
阅读量1.1k 收藏 16
点赞数 34
CC 4.0 BY-SA版权
分类专栏: 网络工程师 网络安全 计算机 文章标签: sql 笔记 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88755455/article/details/145558729

SQL注入如何预防?

本文参考自owasp,重点是提供清晰,简单,可操作的指导,以防止应用程序中的SQL注入漏洞。不幸的是,SQL注入攻击很常见,这是由于两个因素:

  1. SQL注入漏洞的显着流行
  2. 目标的吸引力(即数据库通常包含应用程序的所有有趣/关键数据)。

发生了如此多的成功SQL注入攻击有点可耻,因为在代码中避免SQL注入漏洞非常简单。

当软件开发人员创建包含用户提供的输入的动态数据库查询时,会引入SQL注入漏洞。为了避免SQL注入缺陷很简单。开发人员需要:

a)停止编写动态查询; 

b)防止用户提供的包含恶意SQL的输入影响所执行查询的逻辑。

本文提供了一组通过避免这两个问题来防止SQL注入漏洞的简单技术。这些技术几乎可以与任何类型的数据库一起使用。还有其他类型的数据库,如XML数据库,可能有类似的问题(例如,XPath和XQuery注入),这些技术也可用于保护它们。

主要防御:

  • 选项1:使用准备好的语句(带参数化查询)
  • 选项2:使用存储过程
  • 选项3:白名单输入验证
  • 选项4:转义所有用户提供的输入

额外防御:

  • 另外:强制执行最低权限
  • 另外:执行白名单输入验证作为辅助防御

不安全的例子:

SQL注入漏洞通常如下所示:

以下(Java)示例是UNSAFE,并允许攻击者将代码注入将由数据库执行的查询中。简单地附加到查询的未经验证的“customerName”参数允许攻击者注入他们想要的任何SQL代码。不幸的是,这种访问数据库的方法太常见了。

String query = "SELECT account_balance FROM user_data WHERE user_name = " 
             + request.getParameter("customerName");
try {
    Statement statement = connection.createStatement( ... );
    ResultSet results = statement.executeQuery( query );
}
...

主要防御

防御选项1:准备好的语句(带参数化查询)#

使用带有变量绑定的预准备语句(也就是参数化查询)是所有开发人员应该首先学习如何编写数据库查询的方法。它们比动态查询更易于编写,更易于理解。参数化查询强制开发人员首先定义所有SQL代码,然后将每个参数传递给查询。这种编码风格允许数据库区分代码和数据,无论提供什么用户输入。

准备好的语句可确保攻击者无法更改查询的意图,即使攻击者插入了SQL命令也是如此。在下面的安全示例中,如果攻击者输入的是userID tom' or '1'='1,则参数化查询不会受到攻击,而是会查找与字符串完全匹配的用户名tom' or '1'='1

特定语言的建议:

  • Java EE - PreparedStatement()与绑定变量一起使用
  • .NET - 使用参数化查询,如绑定变量SqlCommand()OleDbCommand()使用绑定变量
  • PHP - 将PDO与强类型参数化查询一起使用(使用bindParam())
  • Hibernate - createQuery()与绑定变量一起使用(在Hibernate中称为命名参数)
  • SQLite - 用于sqlite3_prepare()创建语句对象

在极少数情况下,准备好的陈述会损害绩效。遇到这种情况时,最好是a)强烈验证所有数据或b)使用特定于数据库供应商的转义例程来转义所有用户提供的输入,如下所述,而不是使用预准备语句。

安全JavaSQL语句示例

以下代码示例使用PreparedStatementJava的参数化查询实现来执行相同的数据库查询。

// 一定要验证
String custname = request.getParameter("customerName"); 
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname); 
ResultSet results = pstmt.executeQuery( );

 

安全C#.NET SQL语句示例
 

使用.NET,它更加直接。查询的创建和执行不会更改。您所要做的就是使用Parameters.Add()此处所示的调用将参数传递给查询。
 

 

String query = "SELECT account_balance FROM user_data WHERE user_name = ?";
try {
  OleDbCommand command = new OleDbCommand(query, connection);
  command.Parameters.Add(new OleDbParameter("customerName", CustomerName Name.Text));
  OleDbDataReader reader = command.ExecuteReader();
  // …
} catch (OleDbException se) {
  // error handling
}

                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
SQL注入漏洞复现:探索不同类型的注入攻击方法

				
			

			

				

					weixin_43263566的博客
				

				

					08-26
					
					2006
					
				

			

		

		

			
				
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,

			
		

	



                

            
              



	

		

			

				
					
2024年最全网络安全-SQL注入原理、攻击及防御

				
			

			

				

					2401_84300128的博客
				

				

					05-01
					
					653
					
				

			

		

		

			
				
0x7e是~,使用char(126)也是一样的,concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,爆出sql语句运行后的结果。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。

			
		

	



              


  
              

                


	

		

			

				
					
sql各种注入案例

				
			

			

				

					m0_69435261的博客
				

				

					09-01
					
					5697
					
				

			

		

		

			
				
GTID_SUBSET( set1 , set2 ) - 若在 set1 中的 GTID,也在 set2 中,返回 true,否则返回 false ( set1 是 set2 的子集)GTID_SUBTRACT( set1 , set2 ) - 返回在 set1 中,不在 set2 中的 GTID 集合 ( set1 与 set2 的差集)GTID_SUBSET() 和 GTID_SUBTRACT() 函数,我们知道他的输入值是 GTIDset ,当输入有误时,就会报错。GTID_SUBSET函数。

			
		

	





	

		

			

				
					
sql注入实例

				
			

			

				

					chinsourcer的专栏
				

				

					05-16
					
					649
					
				

			

		

		

			
				
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:“早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题”,先暂不评价此说法对错,如此冷淡的反应只能说明了对SQL注入的无知,今天就通过这个实例来告诉大家SQL注入究竟有多大的危害。
 
初步注入--绕过验证,直接登录
 
公司网站登陆框如下:



可以看到除了账号密码之外,还有一个公

			
		

	



		

			
		



	

		

			

				
					
Sql注入示例

				
			

			

				

					我想我是海 冬天的大海 心情随风轻摆
				

				

					05-19
					
					1380
					
				

			

		

		

			
				
Sql注入是我们经常听说的,具体极大的风险性,下面给一个比较直观的示例:

			
		

	





	

		

			

				
					
sql注入示例

				
			

			

				

					weixin_30340353的博客
				

				

					11-01
					
					155
					
				

			

		

		

			
				
实验指导说明
实验环境
• 实验环境
o 操作机:Windows XP
o 目标机:Windows 2003
o 目标网址:www.test.ichunqiu
• 实验工具:
Tools Path
SQLMap C:\Tools\注入工具\SQLMap
本节课程通过对SQL注入的演示,让大家了解SQL注入漏洞的方式,并学习应对此种漏洞的防御方法。
实验步骤
第一步 手工检测判断注入点
首...

			
		

	





	

		

			

				
					
Dvwa之SQL 注入全级别学习笔记

				
			

			

				

					Mbys_Lettuce的博客
				

				

					09-15
					
					1156
					
				

			

		

		

			
				
SQL注入指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过不同的条件产生不同的SQL语句,这是学习dvwa的sql注入的相关笔记。仅供学习。
​

			
		

	





	

		

			

				
					
SQL注入漏洞的检测及防御方法_如何测试sql注入漏洞(1),阿里面试官必问

				
			

			

				

					2201_75863152的博客
				

				

					04-18
					
					375
					
				

			

		

		

			
				
最重要的是,保持对新的安全威胁和最佳实践的了解,以及定期审查和改进应用程序的安全性。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。OWASP ZAP:开源的漏洞扫描工具,包括SQL注入检测功能,是OWASP项目的一部分。SQLMap:专门用于检测和利用SQL注入漏洞的工具,具有强大的功能和选项。

			
		

	





	

		

			

				
					
漏洞整理之SQL注入

				
			

			

				

					Fengchen的博客
				

				

					10-18
					
					438
					
				

			

		

		

			
				
1 SQL注入
1.1 什么是SQLSQL是Structured Quevy Language(结构化查询语言)的缩写。SQL是专为数据库而建立的操作命令集,是一种功能齐全
的数据库语言。

1.2 什么是SQL注入SQL注入攻击包括从客户端向应用程序输入的SQL查询注入或“注入”恶意数据。
一个成功的SQL注入攻击可以做到以下内容:

读取或修改数据库中的敏感数据;
对数据库执行管理操...

			
		

	





	

		

			

				
					
SQL注入漏洞演示源代码

				
			

			

				

					04-24
				

			

		

		

			
				
SQL注入漏洞演示源代码
更多免费资源请查看:http://download.youkuaiyun.com/user/php_fly

			
		

	





	

		

			

				
					
sql注入简单例子(非常详细),零基础入门到精通,看这一篇就够了

					
最新发布

				
			

			

				

					weixin_51725318的博客
				

				

					11-14
					
					4570
					
				

			

		

		

			
				
sql注入简单例子(非常详细),零基础入门到精通,看这一篇就够了

			
		

	





	

		

			

				
					
SQL注入基础样例1

				
			

			

				

					qq_49283465的博客
				

				

					05-02
					
					634
					
				

			

		

		

			
				
其次我们尝试通过字符转义、传入大数id=50000000等各种方式来使其报错—此处表示你已经过了waf(即使你不会),我们观察他的闭合方式,诱导语句闭合并使用- -+把后面语句注释掉。小知识:我们要知道SQL语句的闭合方式:无符号闭合、单引号—‘’、双引号—“”、单引号与括号联动—‘)、双引号与括号联动—“)、单引号括号双引号—‘)“、以及搜索语句中—‘%’闭合。攻击方式:报错注入、union联合注入、布尔盲注、时间盲注、http头注入、宽字节注入(中国网站)、文件注入、DNS注入等。

			
		

	





	

		

			

				
					
SQL注入案例演示与防范措施大全

					
热门推荐

				
			

			

				

					持之以恒
				

				

					02-26
					
					1万+
					
				

			

		

		

			
				
SQL注入攻击案例与应对措施。

			
		

	





	

		

			

				
					
Sql案例整理-注入

				
			

			

				

					pp_lan的博客
				

				

					09-08
					
					603
					
				

			

		

		

			
				
Sql注入
示例
为了说明项目中的sql注入,此处以mybatis为例
package com.fiberhome.base;

import com.fiberhome.base.dao.TUserMapper;
import com.fiberhome.base.model.User;
import org.junit.Assert;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.te

			
		

	





	

		

			

				
					
SQL注入漏洞

				
			

			

				

					浮世的博客
				

				

					08-28
					
					344
					
				

			

		

		

			
				
1.存在sql漏洞的写法


2. 正确的写法



解决方案:
1.增加一个过滤器,专门用来过滤带有特殊字符的url请求
 2.修改含有sql注入风险的代码 (如上图)

			
		

	





	

		

			

				
					
SQL注入(二)

				
			

			

				

					Y-Y-K的博客
				

				

					04-15
					
					670
					
				

			

		

		

			
				
SQL注入漏洞二SQL注入两大类:宽字节注入基于约束的SQL攻击SQL盲注报错盲注:1.Duplicate entry报错:1.concat(str1,str2,…)2.Floor():向下取整排列3.rand():产生0~1的随机数2.Xpath报错(Mysql5.1.5):3.整形溢出报错(Mysql>5.5.5):4.数据重复报错(低版本):5.其他报错注入SQL注入两大类:

字...

			
		

	





	

		

			

				
					
SQL注入原理详细分析

				
			

			

				

					Mr. David 专栏
				

				

					04-01
					
					1319
					
				

			

		

		

			
				
1、什么是SQL注入      随着B/S模式应用开发的发展,使得使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以通过互联网的输入区域,利用某些特殊构造的SQL语句插入SQL的特殊字符和指令,提交一段数据库查询代码(一般是在浏览器地址栏

			
		

	





	

		

			

				
					
【网络安全渗透测试零基础入门必知必会】之初识SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了(1)

				
			

			

				

					Libra1313的博客
				

				

					06-21
					
					1363
					
				

			

		

		

			
				
id=1 基于此种形式的注入,一般被叫做数字型注入点,缘由是其注入点 id 类型为数字,在大多数的网页中,诸如查看用户个人信息,查看文章等,大都会使用这种形式的结构传递id等信息,交给后端,查询出数据库中对应的信息,返回给前台。SQL Cookie注入原理主要涉及到攻击者利用Web应用程序对Cookie处理不当的漏洞,通过修改或伪造Cookie中的值,将恶意的SQL代码注入到应用程序的数据库查询中,从而执行非授权的操作或获取未经授权的数据。主要源于应用程序对用户输入的字符型数据没有进行严格的过滤和验证。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值