SQL注入-预防

输入验证：

检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。
输入验证最好使用“白名单”校验的方式。

输入转义：

每个DBMS都有一个字符转义机制来告知DBMS输入的是数据而不是代码，如果将用户的输入都进行转义，那么DBMS就不会混淆数据和代码，也不会出现SQL注入了。

最小权限法：

把每个数据库用户的权限尽可能缩小，在给用户权限时是基于用户需要什么样的权限。而不是用户不需要什么样的权限。

参数化查询：

在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，因此就算参数中含有恶意的指令，由于已经编译完成，就不会被数据库所运行。（这个方法目前被视为最有效可预防SQL注入攻击的防御方式）

错误消息处理：

防范SQL注入，还要避免出现一些详细的错误消息，这些错误消息可能会暴露一些敏感信息被攻击者利用。

加密处理：

将用户登录名称，密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而防止了攻击者注入的SQL命令。

原文地址：https://www.cnblogs.com/lwfiwo/p/11169556.html

时间： 2024-10-09 22:40:43

SQL注入-预防的相关文章

怎么预防sql注入攻击

假设sql是搜索用户A的文章,sql会是这样: select * from table where owner='A'; sql注入攻击者会修改用户名来实现攻击,例如把A 改成A' or 1='1 组合后的sql语句: select * from table where owner='A' or 1='1'; 这样就可以获取所有用户的文章可见,sql攻击就是把部分数据内容伪造成sql语句,例如上面把 or 1=伪造成sql语句来实现攻击而伪造的方法,就是在内容里面加入引号,所以预防sql注入

预防SQL注入攻击

/** * 预防SQL注入攻击 * @param string $value * @return string */function check_input($value){ // 去除斜杠 if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // 如果不是数字则加引号 if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($valu

预防sql注入

前言: 这两天做项目的时候发现很多小地方没有注意js或者sql注入,平时登录都是md5加密,今天突然发现记录一下. 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 过程: 类似这种很简单的页面 ,可能sql语句写法都如下: select* form table where title ='活动' 但是懂点sql的人 ,可以输入' or ''=', select* form table where title ='

利用PreparedStatement预防SQL注入

1.什么是sql注入 SQL 注入是用户利用某些系统没有对输入数据进行充分的检查,从而进行恶意破坏的行为. 例如登录用户名采用 ' or 1=1 or username=‘,后台数据查询语句就变成 sql = select * from users where username='' or 1=1 or username='' and password='"+password+"'",由于sql中and的优先级比or高,所以整条查询语句等价于: sql = select *

sql注入的原理是什么，怎么预防sql注入

为什么会产生sql注入: 主要原因,对用户输入的绝对信任,相信所有用户的输入都是可信的,没有对用户输入的语句进行过滤或者筛选,直接放到sql语句中进行拼接,从而导致了sql注入的产生例如: <php? id = $_GET['id']; sql = "select * from tables where id=$id limit 0,1"; ....... ?> 如果是正常的id等于数值之类,是没有问题的,但是id如果被恶意更改或者更改,我们原本的逻辑就会出现一系列的问题

9.7预防sql注入

检测实例:a' or 'a'='a [注]以下方法可以预防sql注入:其中prepareStatment.setString();其中的第一个参数为绑定sql语句中问号的位置(这里以1下标开始) 原文地址:https://www.cnblogs.com/jiafeng1996/p/12335432.html

如何对抗、预防 SQL注入攻击

一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击三.SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: 'or 1 = 1 – 密码: 点登陆,如若没有做特殊处理,那么这个

XXS和SQL注入的预防

XSS:跨站脚本攻击XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的常见的恶意字符XSS输入:1. XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框攻击方式: 如在界面输入框恶意输入代码 <script>alert(document.cookie);</script> 如果希望将这个cookie发到自己的xss平台,可以构造如下输入: <script src=\"http://12

PHP mysql_real_escape_string() 函数防SQL注入

PHP MySQL 函数定义和用法 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符. 下列字符受影响: \x00 \n \r \ ' " \x1a 如果成功,则该函数返回被转义的字符串.如果失败,则返回 false. 语法 mysql_real_escape_string(string,connection) 参数描述 string 必需.规定要转义的字符串. connection 可选.规定 MySQL 连接.如果未规定,则使用上一个