SQL 注入防御方法总结

最新推荐文章于 2025-02-06 14:41:52 发布
最新推荐文章于 2025-02-06 14:41:52 发布
阅读量675 收藏 2
点赞数 1
文章标签: java 数据库

SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。

SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection

SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。

1. 演示下经典的SQL注入

我们看到:select id,no from user where id=2;

如果该语句是通过sql字符串拼接得到的,比如: String sql = "select id,no from user where id=" + id;

其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2, 那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1 进行sql注入攻击,

那么看到,上面的语句(select id,no from user where id=2 or 1=1;)将user表中的所有记录都查出来了。

这就是典型的sql注入。

再看一列:

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉!可见其危害!

2. sql 注入的原因

sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。

但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。

比如上面的 String sql = "select id,no from user where id=" + id;

我们希望用户输入的 id 的值,仅仅作为一个字符串字面值,传入数据库执行,但是当输入了: 2 or 1=1 时,其中的 or 1=1 并没有作为 where id= 的字面值,而是作为了 sql语句 来执行的。所以其本质是将用户的输入的数据,作为了命令来执行。

3. sql注入的防御

1> 基本上大家都知道 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。但是其中的深层次原因就不见得都理解了。

        String sql = "select id, no from user where id=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setInt(1, id);
        ps.executeQuery();

如上所示,就是典型的采用 sql语句预编译和绑定变量 。为什么这样就可以防止sql 注入呢?

其原因就是:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。

2> 但是不是所有场景都能够采用 sql语句预编译,有一些场景必须的采用 字符串拼接的方式,此时,我们严格检查参数的数据类型,还有可以使用一些安全函数,来方式sql注入。

比如 String sql = "select id,no from user where id=" + id;

在接收到用户输入的参数时,我们就严格检查 id,只能是int型。复杂情况可以使用正则表达式来判断。这样也是可以防止sql注入的。

安全函数的使用,比如:

        MySQLCodec codec = new MySQLCodec(Mode.STANDARD);
        name = ESAPI.encoder().encodeForSQL(codec, name);
        String sql = "select id,no from user where name=" + name;
ESAPI.encoder().encodeForSQL(codec, name)

该函数会将 name 中包含的一些特殊字符进行编码,这样 sql 引擎就不会将name中的字符串当成sql命令来进行语法分析了。

注:

实际项目中,一般我们都是采用各种的框架,比如ibatis, hibernate,mybatis等等。他们一般也默认就是sql预编译的。对于ibatis/mybatis,如果使用的是 #{name}形式的,那么就是sql预编译,使用 ${name} 就不是sql预编译的。

 

防御SQL注入方法总结
weixin_34186128的博客
07-20 1483
这篇文章主要讲解了防御SQL注入方法,介绍了什么是注入注入的原因是什么,以及如何防御,需要的朋友可以参考下 SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。 SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询...
SQL注入攻击的防御方法
qq_69100706的博客
04-15 752
由于参数值会被正确转义并严格作为数据对待,而非指令的一部分,即使输入包含恶意的SQL代码,也不会被执行。对所有用户输入进行严格的验证和过滤,确保其符合预期的数据类型、长度、格式和字符集。拒绝或清理不符合规则的输入,移除或转义可能用于SQL注入的特殊字符(如单引号、双引号、分号、注释符等)。ORM框架将对象与数据库表进行映射,自动处理数据查询和持久化,同时确保在生成SQL时对用户输入进行适当的转义或参数化。对于必须手动编写的SQL查询,确保使用适当的方法(如函数或库)对用户输入进行转义。
SQL注入防御方法
weixin_57763462的博客
06-27 1320
1.使用预编译语句(Prepared Statements)和参数化查询:这是预防SQL注入的最有效方法之一,通过这种方式,可以确保SQL语句的结构在编译时就确定下来,之后传入的参数不会改变语句的结构,因此可以避免注入攻击。6.限制数据库权限:为应用程序使用的数据库账户只赋予必要的权限,避免使用具有高级权限的账户,这样即使发生注入攻击,攻击者能做的也非常有限。3.使用ORM(对象关系映射)工具:许多现代编程框架提供了ORM工具,它们可以自动进行参数化查询,从而降低直接编写SQL语句的风险。
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
SQL注入攻击与防御技术白皮书.pdf
10-16
3.2 IPS设备SQL注入防御框架的优点 IPS设备可以提供实时的防御,检测和阻止恶意的SQL语句,防止攻击者获取敏感信息或篡改Web数据。此外,IPS设备还可以提供详细的日志记录和告警信息,帮助管理员更好地监控和管理...
SQL注入攻击与防御 第2版》PDF版本下载.txt
07-17
通过实施有效的防御措施,如参数化查询、输入验证以及采用安全编码实践等方法,可以大大降低受到SQL注入攻击的风险。同时,持续的安全培训和技术更新也是保持系统安全的重要因素。 #### 七、参考资料 - 《SQL注入...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 6万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
sql注入之——sql注入防御方法
温柔小薛的博客
07-19 1392
填坑 之前忘记发了 sql注入防御方法 解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库 配置使用最小权限原则。通常修复使用的方案有: 一、代码层面 1.对输入进行严格的转义和过滤 2.使用参数化(Parameterized) 二、网络层面 1.通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 2.云端防护(360网站卫士,阿里云盾等) PHP防范推荐方法:PDO预处理——PDO预处理能防止SQL注入的原因 没有进行PDO预处理的SQL,在输入SQL语句进行
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
如何防御SQL注入
cherry的专栏
12-22 1071
1、检查变量数据类型和格式 如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程
SQL注入防御
zzl8888888的博客
07-18 164
SQL注入防御 1、查询出来的结果再和用户名密码比较如果一致则是正常登陆,不一致认为是攻击 2、通过正则表达式进行匹配用户名是否合法 帐号是否合法(字母开头,允许5-16字节,允许字母数字下划线):1[a-zA-Z0-9_]{4,15}$ 其中最后一个“_”处可添加其他的字符表示允许通过的字符。 ———————————————— 原文链接:https://blog.youkuaiyun.com/xyb_l_code/article/details/81208826 a-zA-Z ↩︎ ...
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2429
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
sql注入防范措施(非常详细),零基础入门到精通,看这一篇就够了_sql注入防御方式
程序员阿飘 的博客
02-06 1401
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
sql注入介绍以及防御手段
记录 IT 领域经验与见解的博客
05-12 3063
SQL注入攻击包括基于错误的SQL注入、基于UNION的SQL注入、基于布尔的SQL注入和基于时间的SQL注入等多种类型。对于SQL注入攻击,我们必须认识到它的严重性,并制定有效的计划来避免其出现,从而提高网站的安全性。SQL注入攻击是一种Web应用程序的安全问题,它利用Web应用程序对用户输入的数据没有足够验证,使用恶意SQL代码获取或破坏应用程序的数据。这种类型的SQL注入利用数据库管理系统的错误处理功能,例如未处理的查询错误或未捕获的异常,向攻击者暴露敏感信息。1.基于错误的 SQL 注入
SQL注入攻击与防御详细讲解
weixin_47450720的博客
03-27 1587
攻击者可以使用存储过程来执行复杂的SQL语句。例如,攻击者可以通过创建存储过程来将恶意SQL语句存储在数据库中,并在需要时执行该存储过程。对用户输入进行严格的过滤,可以去除所有可能导致SQL注入攻击的字符。使用参数化查询或预编译语句,将用户输入与SQL语句分开。参数化查询或预编译语句可以将用户输入与SQL语句分开,从而防止SQL注入攻击。使用参数化查询或预编译语句,将用户输入与SQL语句分开。使用参数化查询或预编译语句,将用户输入与SQL语句分开。使用参数化查询或预编译语句,将用户输入与SQL语句分开。
Python语法
太陽の金貨 的博客
12-07 279
1.基本语法 1.1 下横线开头的函数如_init代表不能直接访问的类属性,不可通过from xxx和import *导入,需通过类提供的接口进行访问 1.2 双横线开头的函数如__init代表类的私有成员 1.3 前后双横线为特殊方法的专用标志,比如 __ init__() 代表类的构造函数 1.4 Python的代码块不使用{},使用缩进来写模块,相同代码块必须使用相同的缩进空白数 1.5 每...
SQL注入防御方法
最新发布
05-26
### SQL注入防御方法最佳实践 #### 1. 使用参数化查询 参数化查询是防止SQL注入的核心措施之一。它通过将SQL逻辑与数据分离,确保用户输入不会被解释为SQL命令的一部分。 ```php try { $dbh = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $dbh->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $username = $_POST['username']; $password = $_POST['password']; $stmt->execute(); } catch (PDOException $e) { echo "Error!: " . $e->getMessage() . "<br/>"; } ``` 这种方法强制用户输入作为独立的参数传递给数据库,而不是嵌入到SQL字符串中[^4]。 #### 2. 输入验证与清理 对所有来自用户的输入进行全面验证和清理是一个重要的补充措施。这包括但不限于长度检查、格式校验以及非法字符过滤。 - **正则表达式**可用于限定输入格式。 - **白名单验证**只接受已知合法的字符集或模式。 例如,在PHP中可以这样实现简单的输入验证: ```php function validateInput($input) { return preg_replace("/[^a-zA-Z0-9]/", "", $input); // 只保留字母数字组合 } $username = validateInput($_POST['username']); $password = validateInput($_POST['password']); ``` #### 3. 避免动态拼接SQL语句 任何情况下都不应该直接将未经处理的外部输入嵌入到SQL语句中。即使采取了初步的输入净化措施,也不能完全依赖其安全性[^3]。 #### 4. 最小权限原则 配置数据库账户时遵循最小权限原则,即只为应用程序分配完成工作所需的最低限度权限。如果某部分程序只需要读取数据,则不应赋予写入或其他更高级别的权限。 ```sql GRANT SELECT ON database_name.table_name TO 'user'@'host'; ``` #### 5. 错误消息控制 生产环境中应当隐藏详细的错误信息以防泄露敏感细节给潜在攻击者。替代方案是可以显示通用性的错误提示如“发生未知错误,请稍后再试。”同时记录完整的日志至后台供管理员分析解决[^2]。 #### 6. 定期更新补丁及审计代码 持续关注软件供应商发布的新版修复包及时安装升级;另外也要养成周期性复查现有业务逻辑的习惯寻找可能存在的隐患点并加以修正[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值