简单的sql注入及预防

最新推荐文章于 2018-09-21 10:25:28 发布
最新推荐文章于 2018-09-21 10:25:28 发布
阅读量165 收藏
点赞数
分类专栏: php apache mysql 文章标签: sql注入 防止注入

简单的sql注入是通过web页面中的输入框输入特殊的查询字符在程序没有顾虑的情况下可以非法登录或获取数据库的信息。

//像下面简单的判断用户名密码的sql语句

$name = $this->params['form']['name'];
$pwd = $this->params['form']['pwd'];
$loginSql = "select * from users where username = $name and password = $pwd ";
因为sql语句中包含and , or,;,等特殊字符,在没对用户输入进行过滤的情况下很容易造成sql注入,下面看几种常见的sql

 1.知道用户名admin 不知道密码的情况下的注入,

归纳一下,主要有以下几点:
  1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
  双"-"进行转换等。
  2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
 
java filter 防止sql注入攻击
专注
07-12 2988
原理,过滤所有请求中含有非法的字符,例如:, & 某个网站的登入验证的SQL查询代码为       strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 恶意填入       userName = "' OR '1'='1"
简单实用的SQL通用防注入代码
DataBase
07-19 2276
功能简单说明:1.自动获取页面所有参数,无需手工定义参数名.2.提供三种错误处理方式供选择.   (1).提示信息.  (2).转向页面.  (3).提示信息,再转向页面.3.自定义转向页面.使用方法很简单,只需要在ASP页面头部插入代码 包含 Fy_SqlX.Asp 就可以了~~简单实用将以下代码拷贝,别存为Fy_SqlX.AspDim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_C
Java防止SQL注入
wl_ldy的专栏
02-03 3588
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
数据库设计规范 mysql优化 mysql 注入 预防mysql语句
精灵码农
08-09 228
数据库设计规范 逻辑设计 ->物理设计 实际工作中: 逻辑设计+物理设计 物理设计 表名 字段名 字段类型 数据库命名规范 所有数据库对象名称必须使用小写字母并用下划线分割 所有数据库名称禁止使用mysql保留关键字 数据库命名做到见名识义,最好不要超过32个字符 mc_userdb(用户数据库) user_account(用户账号表...
防止SQL注入
Nicholas的专栏
09-21 290
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. sql注入 什么时候最易受到sql注入攻击    当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
PHP简单预防sql注入的方法
12-18
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库。在PHP中,不恰当的SQL语句构建是导致SQL注入的主要原因。以下是一些PHP防止SQL注入的方法: 1. 使用参数化查询: 参数化查询是...
SQL注入攻击及其预防方法研究
07-05
虽然该方法看似简单,但其实它并不十分可靠,因为SQL注入攻击者可以使用各种手法绕过这种简单的替换措施。例如,通过在关键词之间插入空格、使用十六进制或URL编码,或者使用多字节字符集编码,都可以使攻击代码逃避...
SQL注入
码农
04-16 749
作者:"北京-肖进" 字符串检测的方法 防SQL注入,治标不治本,不仅有漏洞(比如SQL版本升级了增加了新的函数或者特性),而且还有副作用(很多正常的文本都非法了) 标准的方法,应该是SqlParameter或者实现SQL语句自动化 防XSS攻击,应该还有referer判定与POST判定,防止外站内容攻击。 清理掉
两段简单的JS代码防止SQL注入
weixin_30387799的博客
08-31 131
1.URL地址防注入://过滤URL非法SQL字符varsUrl=location.search.toLowerCase();varsQuery=sUrl.substring(sUrl.indexOf("=")+1);re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;i...
通用的防止SQL注入代码
思索的蜗牛的专栏
04-19 696
新建sqllin.asp网页文件,编写以下代码检查POST和GET方式提交的所有数据,如果发现有过滤字符,则显示弹出对话框,并中断程序的运行Dim   SQL_Post,SQL_Get,strFilter,aFilter,istrFilter=" |;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|trunc
java程序防止sql注入的方法
热门推荐
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
java防sql注入sql语句拼接工具sqlHandle
o1587790525的专栏
11-18 6576
我在做网站的时候有一个需要在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以防止sql注入的困扰。
登录防注入简单的实现
SicongFu的博客
10-09 1943
原来是这样写的,当我登录时输入:' or 1=1 -- 会导致登录成功!这样让我必须要做防注入。 /** * 获取登录用户 * @param userName * @param md5password * @return */ /* @SuppressWarnings("unchecked") public Map getFa
利用sql预处理语句 防止sql注入
grace_fang的博客
10-12 1097
写一个简单的登陆系统 前端代码 登录页面 username: password: > 后台提交至 doLogin.php <?php header('content-type:text/html;charset=utf-8'); $mysqli=new mysqli('localhost','root','','test'); if($mys
JavaWeb防注入知识点(一)
weixin_30894389的博客
09-22 169
一、防sql注入办法 在apache commons-lang(2.3以上版本)中为我们提供了一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能。总共提供了以下几个方法: 1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击' ' or 1=1 ' ' StringBuffer sql = new Str...
Hibernate一些防止SQL注入的方式
赵玉的专栏
12-21 1万+
Hibernate一些防止SQL注入的方式   Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入     1.对参数名称进行绑定:     2.对参数位置进行邦定:     3.setParameter()方法:     4.setProperties()方法:     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值