防止sql注入的一个方法

最新推荐文章于 2024-08-27 21:18:54 发布
原创 最新推荐文章于 2024-08-27 21:18:54 发布 · 600 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #insert #delete #防火墙 #string #数据库

先介绍一下什么是sql注入,下面是我网上找的定义:

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
    随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

现在知道概念了,来看看怎么预防吧,这是关键,呵呵。

防止sql注入的一个简单方法就是过滤字符串,把和sql相关的字符串和一些特殊字符过滤掉就OK了。

下面是常用的字符串:

 

String[] SQL_indata ={":",";",">","<","--","sp_","xp_","/","dir","cmd","^","(",")","+","$","'","copy","format","and","exec","insert","select","delete","update","count","*","%","chr","mid","master","truncate","char","declare"}; 
Web入门 SQL注入 表单含义
Bald__girl的博客
11-26 493
一、表单: 主要负责数据采集,由表单标签、表单域、表单按钮三部分组成。 1、表单标签 功能:用于申明表单,定义采集数据的范围,也就是和里面包含的数据将被提交到服务器或者电子邮件里。 语法:<FORM ACTION="UPL"METHOD=“GET|POST"ENCTYPE=“MIME"TARGET=”…”>… 2、表单域 表单域包含了文本框、多行文本框、密码框、隐藏域、复选框、单选框和...
ASP.NET防止SQL注入方法示例
10-20
主要介绍了ASP.NET防止SQL注入方法,结合具体实例形式分析了asp.net基于字符串过滤实现防止SQL注入的相关操作技巧,需要的朋友可以参考下
什么是SQL注入?怎么防止SQL注入
weixin_41047756的博客
01-07 487
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。举个简单的例子:做用户登录时候在你的SQL语句后面加一个where 1=1。这样一来可以无视你输入的用户名和密码,直接登录你的程序。 那么怎么防止呢? 1.用户检测:这个是必须的。 ...
防止SQL注入攻击
guodian5261259的专栏
05-07 617
    SQL注入攻击是比较常见的一种攻击数据库方法。在这种攻击中,用户常常利用SQL语句中的特定字符来创建一个恒等条件或永真条件,,从而使得网络应用程序不按照程序员事先设定的方式运行。这样一来,用户可以对网络应用程序进行非法操作,如访问网络应用程序数据库。   下面我们以一个例子来介绍防止SQL注入攻击的方法,同时还提供了防止SQL注入攻击的实例:  首先我们创建一个页面 
用 like concat 不用 like,为了防止sql注入;#{}和${}的区别和用法;#{}预SQL注入的原理
最新发布
qq_46023827的博客
08-27 1329
其次${}本身设计的初衷就是为了参与SQL语句的语法生成,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。(1)#{}在使用时,会根据传递进来的值来选择是否加上双引号,因此我们传递参数的时候一般都是直接传递,不用加双引号,${}则不会,我们需要手动加(2)在传递一个参数时,我们说了#{}中可以写任意的值,则必须使用value;即:{}则必须使用value;则必须使用value;即:{value}
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6846
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
mybatis防止SQL注入方法实例详解
08-27
MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入方法实例详解。 为什么 SQL 注入攻击存在 SQL 注入攻击存在的原因是因为开发人员没有遵循编程规范。例如,...
Python中防止sql注入方法详解
09-21
预编译SQL语句是防止SQL注入的一种有效方法。它允许你在编写SQL语句时保留占位符,然后将实际的参数值传递给这些占位符。Python中的数据库API通常支持这种方式。 **示例代码**: ```python import MySQLdb class ...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
什么是sql注入,如何防止sql注入
热门推荐
0317_lzq_th
08-12 1万+
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户
转:PHP中防止SQL注入方法
weixin_34258838的博客
10-08 827
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任...
一种通用SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2449
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
Mybatis中的concat()函数是如何防止sql注入的 理解整理
我叫鱿鱼须的博客
10-27 4544
前言: 刚开始接触Mybatis时,对于xml文件中的concat()函数的使用不是太理解,现在终于搞明白的,其实不难理 CustomerMapper.xml文件下的 配置: <!-- bind的测试 --> <select id="findCustomerByName1" parameterType="customer" resultType="customer"> <bind name="parttern_username" value="username"/
防止SQL注入:.NET编程最佳实践
"本文介绍了.NET防止SQL注入方法,包括使用参数化查询、字符串过滤以及执行SQL命令时的安全注意事项。" 在.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操控数据库。为了保护应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值