sql注入攻击的一个解决办法

最新推荐文章于 2024-07-19 08:58:48 发布
最新推荐文章于 2024-07-19 08:58:48 发布
阅读量161 收藏
点赞数
文章标签: SQL 算法 Socket
本文探讨了在设计高性能分布式系统时如何预防SQL注入攻击。通过实际案例分析了SQL注入的危害,并提供了一种将潜在危险字符替换为不可见字符的方法,旨在增强数据库的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

虽然是设计高性能分布式系统,但是系统的安全漏洞还是应该尽量避免。前几天,项目当中遇到了sql注入攻击风险,感觉很是头疼,因为向几个黑客朋友请教的结果是没有办法根治,FT。也就是说只要黑客想废掉后台数据库,只要他有决心,就一定能做到,还是做热备比较可靠,其他办法只是能预防简单的攻击。很多符号如果在字符串中,都会有潜在的威胁。例如:

安全sql: select * from table where username = 'netchecking' and password = '123''

危险sql:select * from table where username = 'netchecking' and password = '123';delete * from table;''

把pasword赋值为:123;delete * from table

这样,数据库就被废了。


我在这里使用了一个简单的比较危险字符的方法,全部代码如下(还没有来的急详细测试,暂时叫第一版吧,以后等我完善以后,再给出源代码):

//算法为,先把字符串当中的危险字符变成不可见字符存储,然后再把它读取出来以后,转换成危险字符。

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>

#define DICNUM 9
char SOURCEDIC[] = {')','(','!','@','#','$','%','^','&'};
int CONVERTDIC[] = {128,129,130,131,132,133,134,135,136};


static int checkASC(char p)
{
int i = 0;
for (i=0;i<DICNUM;i++)
{
if (p==(char)CONVERTDIC[i])
{
return i;
}
}

return -1;
}

static int checkSource(char p)
{
int i = 0;
char * op = SOURCEDIC;
for (i=0;i<DICNUM;i++)
{
if (p==(*op))
return i;
op++;
}

return -1;
}

static int convertASC(char* p,int index)
{
*p = SOURCEDIC[index];
return 0x0;
}

static int convertSource(char* p,int index)
{
*p = (char)CONVERTDIC[index];
return 0x0;
}


static int replaceSource(char * buffer,char * result)
{
char * p = NULL;
p = buffer;
int res = 0;
int len = 0;
while(1)
{
res = checkASC(*p);
if (res >= 0x0)
convertASC(p,res);
result[len] = *p;
p++;
len++;
if (len == strlen(buffer)) break;
}
return 0x0;
}

static int replaceASC(char * buffer,char * result)
{
char * p = NULL;
p = buffer;
int res = 0;
int len = 0;
while(1)
{
res = checkSource(*p);
if (res >= 0x0)
convertSource(p,res);
result[len] = *p;
p++;
len++;
if (len == strlen(buffer)) break;
}
return 0x0;
}


int main()
{
char buffer[] = "12ws(((we";
printf("buffer = %s\n",buffer);

char result[254] = {0x0};
memset(result,0x0,254);
replaceASC(buffer,result);

printf("result = %s\n",result);

char res[254] = {0x0};

replaceSource(result,res);

printf("res = %s\n",res);
return 0x0;
}

希望能跟高手们交流sql injection预防技术。

iteye_2573
关注
SQL注入详解:原理、攻击手段及防御策略
fudaihb的博客
07-16 2954
SQL注入SQL Injection)是Web应用程序安全中最常见和最严重的漏洞之一。攻击者通过将恶意SQL代码插入输入字段,欺骗应用程序执行未授权的SQL命令,从而访问、篡改或删除数据库中的敏感数据。本文将深入探讨SQL注入的原理、常见攻击手段及其防御策略。
java sql注入正则表达式_Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
weixin_36074841的博客
02-24 685
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句中嵌入另一个Dro...
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
网站如何防止sql注入攻击解决办法
网站安全专家
09-25 1103
首先我们来了解下什么是SQL注入SQL注入简单来讲就是将一些非法参数插入到网站数据库中去,执行一些sql命令,比如查询数据库的账号密码,数据库的版本,数据库服务器的IP等等的一些操作,sql注入是目前网站漏洞中危害最大的一个漏洞,受攻击的网站占大多数都是sql注入攻击sql注入攻击用英语来讲Structured Query Language,在网站的编程语言当中是一种比较另类的网站开发...
SQL注入攻击及其解决方法
weixin_34390996的博客
08-22 255
SQL注入攻击:   当程序中出现了SQL拼接时,当输入的值为jack'#或者'jack' or '1=1时,会让SQL语义发生改变,因为SQL语句中出现了SQL的关键字(# or 1=1),造成数据泄露,系统安全隐患。 SQL语义发生改变的语句例如: select * from user where username='jack'#' and password='' select...
数据库注入攻击和防止注入攻击
xiaoyuxianshenging的博客
07-28 1576
Java程序实现用户登录,用户名和密码,数据库检查  演示被别人注入攻击 public class userdenglu { public static void main(String[] args) throws ClassNotFoundException, SQLException { //密码和用户名写死的情况下的注入攻击 //用户名和密码由用户输入 Class.fo
SQL 注入漏洞原理以及修复方法
热门推荐
it知识分享 free for nothing..
01-23 1万+
SQL 注入漏洞原理以及修复方法
Nginx中防止SQL注入攻击的相关配置介绍
01-10
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。 对于简单的情况,比如包含单引号’ , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免。 用rewrite有个前提需要知道,一般用rewrite...
PHP如何防止SQL注入攻击
破损的天堂鸟博客
07-19 1309
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
2024年最全网络安全-SQL注入原理、攻击及防御
2401_84300128的博客
05-01 654
0x7e是~,使用char(126)也是一样的,concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,爆出sql语句运行后的结果。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6841
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 9385
解决SQL注入的方法
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1560
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
三种方法助您缓解SQL注入威胁
Linuxprobe18的博客
10-29 1160
导读 即使是大型科技公司,依然会被软件和Web漏洞所困扰,其中SQL 注入是常见也是最危险的漏洞之一。以下是降低SQL注入漏洞风险的三大方法。 即使是大型科技公司,依然会被软件和Web漏洞所困扰,其中SQL 注入是常见也是最危险的漏洞之一。在MITRE近日发布的过去两年中最常见和最危险的25个软件漏洞列表(见下图)中,SQL注入漏洞的排名高居第六: 以下是降低SQL注入漏洞风险的三大方法: 零信任方法 首先确保客户端输入验证不是唯一的防线。这种验证是改善用户体验的好工具,但它不能作为
sql注入攻击(三)sql注入解决办法
cuiyaoqiang的博客
06-11 3517
我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入解决办法。怎么来解决和防范sql注入,由于本人主要是搞java web开发的小程序员,所以这里我只讲一下有关于java web的防止办法。其实对于其他的,思路基本相似。下面我们先从web应用程序的角度来看一下如何避免sql注入:1、普通用户与系统管理员用户的权限要有严格的区分。  如果一个普通用户在使用查询语句中嵌入另一个Dr
墨者 - SQL注入漏洞测试(报错盲注)
吃肉唐僧的博客
07-07 2978
根据题意,用updatexml构造报错回显' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表' and updatexml(1,concat(0x7e,(select table_n...
sql注入的实用应对措施
两天打鱼三天晒网
07-27 7174
关于sql注入大家可能或多或少有所了解,这篇文章介绍得很详细,大家可以看下: https://www.cnblogs.com/baizhanshi/p/6002898.html   总结了下最主要的原理就是利用sql语句中的注释漏洞-- sql = "select * from user_table where username='" &amp; userName &amp; "' an...
SQL注入漏洞的分析及解决(java)
m0_51295053的博客
07-14 1496
SQL注入漏洞的分析及解决1,SQL注入漏洞的演示2,SQL注入漏洞产生的原因3,SQL注入漏洞的解决方案(Java) 1,SQL注入漏洞的演示 2,SQL注入漏洞产生的原因 3,SQL注入漏洞的解决方案(Java) 一,SQL注入漏洞演示 1),数据库中用户和密码 2),验证登陆和sql拼接 模拟登陆验证页面 内联代码片。 package jdbcTest.jdbc.demo4; import java.sql.Connection; import java.sql.ResultSet; im
sql注入实例分析
weixin_30624825的博客
07-23 3554
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
举例说明SQL注入解决办法
最新发布
10-06
SQL注入SQL Injection)是一种常见的网络安全漏洞,攻击者利用应用程序对用户输入的数据未进行足够的验证或过滤,将恶意SQL语句插入到原本用于查询数据库的SQL命令中,从而获取、修改或删除数据。这种攻击通常发生...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值