SQL注入攻击

最新推荐文章于 2020-07-25 16:19:56 发布
转载 最新推荐文章于 2020-07-25 16:19:56 发布 · 81 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/616147/blog/1791034
文章标签:

#数据库 #web安全 #python

本文介绍了SQL注入攻击的基本原理,展示了攻击者如何利用未过滤的数据执行恶意SQL语句,并提出了有效的防御措施,包括增加校验、合理分配数据库权限及使用预处理语句。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

WEB站点每天都会遇到各种各样的攻击,除了做好服务层的方法外我们还要做好应用层的防范。

SQL注入攻击原理

  • 攻击者在form表中(含post和get请求)输入SQL命令绕过简单验证,欺骗服务器执行恶意的SQL语句
  • 开发人员直接使用未经过数据校验及字符过滤的方式来执行SQL语句,也就是手写SQL语句且不对数据进行校验

常见的SQL注入攻击示例

  • 登陆表单中需要用户输入 用户名 和 密码, 开发人员校验登陆是使用 类似如下 SQL 语句的

    • 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

  • 攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容用来更改SQL语句执行的真实命令,请求服务器后,真正执行的代码如下

    • SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';

  • 至此就成功的绕过了数据库的权限校验了,成功的获得了WEN站点的权限
  • 一旦攻击者一次攻击成功且得知网站如此薄弱后,会加强其他攻击手段,例如:
    • 新增或修改、删除数据库表及表内数据
    • 跨站攻击同服务器的其他网站、数据库等
    • 通过SQL语句执行更多的权限

防范方法

  • 登陆校验添加更多的校验
  • 做好站点数据库权限的分配,避免涉及到了其他的数据库及站点
  • 校验时过滤特殊符号、且检查数据类型并使用预处理语句

总结

  • 开发过程中不仅要注意开发效率及WEB性能还需要注意WEB安全

转载于:https://my.oschina.net/u/616147/blog/1791034

SQL注入攻击与防御》PDF版本下载.txt
07-17
根据提供的文件信息,本文将详细解析“SQL注入攻击与防御”的相关知识点,包括SQL注入的基本概念、攻击原理、常见类型以及有效的防御措施等。 ### 一、SQL注入基本概念 SQL注入SQL Injection)是一种常见的网络...
SQL注入攻击与防御 第2版》PDF版本下载.txt
07-17
### SQL注入攻击与防御知识点详解 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以...
[ASP开发][入侵检测]浅谈SQL注入式(SQL injection)攻击与防范
ChneChen的Blog
03-02 2126
(http://www.cnhacker.cn/asp/list.asp?id=2184)我没有系统的学习过asp或者php编程,也没有系统的学习过access、sqlserver、mysql数据库,所以我不是一个程序员,虽然经常干一些类似程序员的事情。    因为要建立自己的站点,3次改版下来,多少也写了几千行程序,加上对一些论坛、留言板、文章发布系统的测试,也发现了一些问题,现在与大家探
我对SQL注入的认识
数据库
11-14 242
1.什么是sql注入呢? 所谓 SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 2.SQL注入攻击原理。 SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和执行。只要这...
MySQL:带你理解SQL注入
AngelDg的博客
07-25 205
sql注入什么是sql注入呢?sql注入产生原因sql注入原理SQL注入攻击的简单示例:SQL注入攻击的总体思路是: 什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为
sql注入攻击完全理解
huangleijay的专栏
10-08 897
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击. 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串
SQL注入攻击与防御技术白皮书.pdf
10-16
SQL注入攻击与防御技术白皮书.pdf 本文档主要介绍了SQL注入攻击的原理、方式、危害及防御措施,旨在帮助读者更好地理解和防御这种常见的数据库漏洞攻击方式。 1.SQL注入攻击简介 SQL注入攻击是一种针对数据库的...
SQL注入攻击与防御 第2版
03-10
SQL注入攻击与防御》第二版是一本深入探讨SQL注入问题的专业书籍,旨在帮助读者理解和防范这一常见的网络安全威胁。SQL注入是一种恶意攻击手段,通过在Web应用中输入构造的SQL语句来获取、修改、删除数据库中的...
SQL注入攻击及其防范浅谈
Haibing的博客
03-18 665
SQL注入攻击 SQL注入攻击的基本原理,是从客户端合法接口提交特殊的非法代码,让其注入到服务器端执行业务的SQL中去,进而改变SQL语句的原有逻辑和影响服务器端正常业务的处理。 SQL注入攻击Web应用中一个重要的安全问题,虽然Java具备较高的安全性,但如果开发人员不注意,也有可能留下安全隐患,请看示例: 执行验证的SQL语句 现有一个Login页面用来控制WebApp的入口,用
Sql注入理解
七月_的博客
10-21 216
谈谈sql注入的那些事
softetesting的博客
02-04 183
sql注入 ?什么是sql注入 利用数据库管理系统的能力,攻击者通过将构造的SQL playload附加到前端提交的参数中,导致后台拼接后的SQL语句,被数据库执行产生预期外效果 ?sql注入的分类 总体说分两类:数据型注入和字符型注入 按照其他分类方法,还有常见数据库注入:盲注,延时注入,宽字节注入,二次注入,堆叠注入 ?如何发现sqli注入漏洞 1.寻找注入点: 一个可以和后台,数据库交互的地...
SQL语句:简述对SQL注入的认识
王小二(海阔天空)
04-10 782
SQL语句:简述对SQL注入攻击的认识 一、SQL 注入攻击介绍      官方的说法为:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。即把恶意的 Sql 语句插入到输入参数中,然后通过在后台 Sql 服务器上解析-执行进行的攻击,它目前黑客对数据库进行攻击的最常...
sql注入攻击
qq_40435621的博客
02-22 263
流程 判断是否有sql注入漏洞 – 扫描端口 判断操作系统,数据库web类型 获取数据库信息,管理员信息 拖库 加密信息破解 提升权限 获得sql-shell、os-shell、后台登录。 第一个注入语句 要注入时 我们可以先输入 ' 对 ,就是 单引号 如果出现数据库报错 我们就有机会进行下一步操作 注入' or 1=1 -- ’ :闭合前面的单引号 or : 或者 – : 注释...
sql注入攻击详解(原理理解
热门推荐
~ Caesar's wish书屋 ~
12-14 3万+
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 一、什么是sql注入呢?    
Java程序员从笨鸟到菜鸟之(一百零一)sql注入攻击详解(二)sql注入过程详解...
红太阳照大地
10-25 294
在上篇博客中我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其中有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入攻击的总体思路是: 1.发现SQL注入位置; 2.判断后台数据库类型; 3.确定XP_CMDSHELL可执行...
深入解析SQL注入攻击及其防御策略
SQL注入攻击与防御》是信息安全领域的重要议题之一,该主题详细探讨了SQL注入攻击的原理、方法、危害以及防御策略。本知识点旨在全面介绍上述议题,以便读者能够对SQL注入攻击有一个深入的理解,并能够有效地在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值