防止sql注入

最新推荐文章于 2025-06-04 17:48:43 发布
原创 最新推荐文章于 2025-06-04 17:48:43 发布 · 453 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了SQL注入攻击的原因及防御措施,介绍了使用转义字符和查询参数等方法,并提供了避免潜在风险的具体实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQL注入
造成SQL注入的原因
SQL注入是通过在SQL语句被数据库解析之前,以修改其语法的形式工作的。只要你在解析语句之前插入动态部分,就存在SQL注入的风险。

动态部分:1、 用户传递进来的参数 2、 有可能是从数据库查询出来的

防止SQL注入的一些方法
转义

防止SQL语句包含任何不匹配的引号的最古老的方法,就是对所有的引号字符进行转义操作,使他们不至于成为字符串的结束符。

比如PDO的quote()函数

查询参数

查询参数的做法是在准备查询语句的时候,在对应参数的地方使用参数占位符。随后,在执行这个预先准备好的查询时提供一个参数。

$stmt = $pdo->prepare('select id,name from user where name = ?');

$params = array($_POST['name']);

$stmt->execute($params);

查询参数的不足:

1. 多个值的列表不可以当成单一参数

        $stmt = $pdo->prepare('select * from user where id in (?)');

        $stmt->execute(array('1,2,3'));

        上面的查询结果和下面的不一样:

        select * from user where id in(1,2,3)

    2. 表名无法作为参数

        $stmt = $pdo->prepare('select id,name from ? where id =12');

        $stmt->execute(array('user'));

        这么做是想将一个字符串插入表名所在位置,但是这是报错的

    3. 列名无法作为参数

        //这是错误的
        $stmt = $pdo->prepare('select ? from ?user where id =12');

    4. SQL关键字不能作为参数

        //这是错误的
        $stmt = $pdo->prepare('select id,name from user order by id ?');

        $stmt->execute(array('desc'));

1.就算是使用预处理插入数据的,也需要转义

因为当你仅仅只是使用预处理执行插入语句,敏感字符是不会被转义的。后果是:在后续的查询中动态地使用未转义的数据也是有风险的。

$sql = 'select * from user where id = 3';

 $row = $pdo->query($sql)->fetch(2);

 //$row['name']值为 o'jack就会导致执行错误。
 //当$row['name']值为 ' or 1=1;#  就会将表的所有数据查询出来
 $sql = "select * from user where name = "."'{$row['name']}'";

 $stmtObj = $pdo->query($sql);

对策: 所以不管是不是用户传递过来的参数,最好也使用预处理的方式来执行查询语句

2.检查输入的数据是否具有所期望的数据格式

$sql = 'select id,name from user where id > ?';

//这个时候,保证传递进来的一定是一个数字
$stmt = $pdo->prepare($sql);
$params = array(
    intval($_GET['id'])
);
$stmt->execute($params);

预处理原理
1.数据库首先会解析准备好的SQL查询语句,在完成这一步操作之后,就没有任何方法能够改变那句SQL查询语句的结构。
2.在执行一个已经准备好的SQL查询语句时,需要提供对应的参数,每个你提供的参数都对应预先准备好的查询语句中的一个占位符
3.重复执行这个预先准备好的查询语句,只需要使用新的参数替换老的参数就行。

将用户与代码隔离
预处理(查询参数)和转义字符能够帮助你将字符串类型的值插入到SQL中,但这些技术在需要插入表/列名或者SQL关键字的时候不起作用。
问题:

$sortOrder = $_GET['sort'];//用户传递过来的

//直接将用户传递过来的数据,拼接成SQl语句,不安全。
$sql = "select id,name from user order by $sortOrder";

解决:

将请求的参数作为索引值去查找预先定义好的值,然后用这些预先定义的值来组织SQL查询语句。

$sortCondition = array(
    'up' => 'ASC',
    'down' => 'DESC'
);


//当需要倒序,用户传递down
$sortOrder = $_GET['sort'];//用户传递过来的数据

if (array_key_exists($sortOrder, $sortCondition) ) {

    $sort = $sortCondition[$sortOrder];
} else {
    $sort = 'DESC';
}

//现在$sort这变量就是安全的了,因为他只能是$sortCondition预先定义的值
$sql = "select id,name from user order by $sort";

审查代码

1.找出所有使用了程序变量、字符串连接或者替换等方法组成的SQL语句

2.跟踪在SQL语句中使用的动态内容来源。找出所有外部的输入,比如用户输入、文件、系统环境、网络服务、第三方代码、,甚至从数据库中获取的字符串

3.假设任何外部内容都是潜在的威胁。对于不受信任的内容都要进行过滤,验证或者使用数组映射的方式来处理(参考“将用户与代码隔离”)

4.在将外部数据合并到SQL语句时,使用查询参数,或者用稳健的转义函数预先处理

5.别忘了在存储过程的代码以及任何其他使用SQL动态查询语句的地方做同样的检查

防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6847
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
【2025版】最新什么是 SQL 注入以及如何防止 SQL 注入?(非常详细)从零基础入门到精通,收藏这篇就够了
leah126的博客
06-04 1386
为了防止 SQL 注入攻击,开发人员应实施适当的输入验证和过滤技术,使用参数化查询或预准备语句,并使用 Web 应用程序防火墙和入侵检测系统来检测和阻止恶意 SQL 注入尝试。SQL 注入是一种针对 Web 应用程序和数据库中的安全漏洞的网络攻击。我们了解到,SQL注入是将恶意代码注入数据库查询的行为,这可能导致数据被盗,网站篡改,甚至完全系统泄露。攻击者可以在用户名字段中输入类似 ’ OR ‘1’='1 的内容,导致 SQL 查询为所有用户返回 true,并允许攻击者在没有有效密码的情况下登录。
如何防止sql注入呢?
热门推荐
li_lening的博客
05-21 11万+
sql注入大大降低了网站的安全性!最终达到欺骗服务器执行恶意的SQL命令。 会查出条件不允许的数据,假如是这样的一条sql:$sql="select * from stu where stu_name = $name and stu_email = $password";那么危险来了,注入sql后会变成这样:select * from t_admin where stu_name ='xxx' a...
SQL注入
miss1457的博客
05-17 337
SQL注入url防注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url防注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
如何防止SQL注入
Delete_V的专栏
10-23 1万+
-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..  ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
总之,虽然参数化查询是防止SQL注入的首选方法,但SqlFilter类提供了一个可行的补充方案,尤其适用于那些难以立即进行架构调整的老项目。通过在应用层面上增设此类过滤机制,可以有效地提升应用程序的安全性。当然,...
ASP.NET防止SQL注入的方法示例
01-20
为了防止SQL注入,一种常见的方法是使用参数化查询或存储过程,但这在某些情况下可能需要大量修改现有代码。在这种情况下,可以采用其他防御措施,如在每个请求开始时检查输入的有效性。 1. **创建Global.asax文件*...
SQL注入 如何防止SQL注入
08-14
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
基于jQuery的SQL注入攻击防范实现
12-29
现今实现防止SQL 注入攻击主要是在服务器端实现, 实现的方法主要有基于正则表达式的输入验证、敏感字符的 改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面, 其一, 服务端处理数据使系统资源被过分占用, 容易 造成服务器端拒绝服务; 其二, 编写动态网页的脚本语言多样化, 每种脚本对应一种防止SQL注入方法, 使程序不具有可 读性、标准性。文中着力解决基于服务器端处理SQL 注入攻击的缺陷, 故探寻了一种在客服端实现的基于jQuery 防止 SQL 注入攻击的方法, 其目的是使攻击在客服端就被拦截, 同时利用jQuery开放性的特点使w eb程序更具有可移植性。
如何防止sql注入
qiaoqi17的博客
08-07 663
1. 代码层防止sql注入攻击的最佳方案就是sql预编译 publicList<Course>orderList(StringstudentId){ Stringsql="selectid,name,student_id,statusfromSAPEwherestudent_id=?"; returnjdbcTemplate.query(sql,newObject[]{studentId},newBeanPropertyRowMapper(Co...
怎么防止SQL注入
。。。。
03-21 7552
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
sql注入
windflybird
04-09 3010
sql语句:通过SQL语句,实现无帐号登录,甚至篡改数据库。 SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题) 这是为什么呢? 下面我们分析一下: 从理论上说,后台认证程序中...
SQL注入大全——史上最全的 SQL 注入资料
fguyfff的博客
11-13 495
SQL注入大全——史上最全的 SQL 注入资料
jquery 防sql注入方法
萧刚
03-29 2704
function injectChk($sql_str) { //防止注入         $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);         if ($check) {             echo('非法
防止SQL注入
最新发布
07-11
首先,用户的问题是:“我想查找防止SQL注入的方法 请问如何防止SQL注入攻击”。这是一个关于防止SQL注入攻击的查询。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式,但这个问题是关于SQL注入的,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值