简单的sql注入及预防 - 随波主流 - ITeye博客

`

myfreespace

浏览: 228555 次
性别:
来自: 北京

最近访客更多访客>>

zjy_369

Qlancet

msconfigs

mxl154265

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

yjw0628： text 和password无需分开处理.然后不要用input ...
jquery html5 实现placeholder 兼容password ie6
supercrsky：不输入直接提交form会有各种问题。
jquery html5 实现placeholder 兼容password ie6
myfreespace：嗯谢谢提示，正在修改中
模仿新浪微薄删除冒泡提示效果
王斌_code：有bug,先点删除，再点取消，在冒泡消失前，点击删除（构造事件 ...
模仿新浪微薄删除冒泡提示效果
王斌_code：效果有点生硬，用jquery可以省不少事，而且效果很好
模仿新浪微薄删除冒泡提示效果

简单的sql注入及预防

博客分类：

php apache
mysql

sql注入防止注入

阅读更多

简单的sql注入是通过web页面中的输入框输入特殊的查询字符在程序没有顾虑的情况下可以非法登录或获取数据库的信息。

//像下面简单的判断用户名密码的sql语句

$name = $this->params['form']['name'];
$pwd = $this->params['form']['pwd'];
$loginSql = "select * from users where username = $name and password = $pwd ";

因为sql语句中包含and , or,;,等特殊字符，在没对用户输入进行过滤的情况下很容易造成sql注入，下面看几种常见的sql

1.知道用户名admin 不知道密码的情况下的注入，

归纳一下，主要有以下几点：
　　1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和
　　双"-"进行转换等。
　　2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
　　3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
　　4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
　　5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

0
顶

0
踩

分享到：

改造的二分法无限分类 | js获取鼠标点击坐标

2012-02-06 15:15
浏览 1046
评论(0)
分类:编程语言
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

SQL注入攻击实验报告: ### SQL注入攻击实验报告知识点详解 #### 一、实验背景及目的 - **实验背景**：随着互联网技术的发展，Web应用程序越来越广泛地...在实际开发过程中，必须高度重视安全性问题，采取多种措施来预防和抵御SQL注入攻击。

SQL注入全面讲解技术文档: 通过理解其原理，采取有效的预防措施，以及定期评估和更新防护策略，可以大大降低SQL注入攻击的风险。对于初学者和专业开发者来说，深入研究SQL注入的各个方面，包括入门、进阶和高级技巧，是提升系统安全性的关键...

SQL注入漏洞全接触.ppt: * SQL注入漏洞的原理是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取攻击者想得到的资料。二、 SQL注入漏洞的危害 * SQL注入漏洞可能导致敏感数据泄露、服务器被入侵、网站沦陷等严重后果。 * ...

SQL注入攻击及其预防方法研究: 虽然该方法看似简单，但其实它并不十分可靠，因为SQL注入攻击者可以使用各种手法绕过这种简单的替换措施。例如，通过在关键词之间插入空格、使用十六进制或URL编码，或者使用多字节字符集编码，都可以使攻击代码逃避...

基于ESAPI的防sql注入jar包及使用示例.rar: **基于ESAPI的防SQL注入技术** 在网络安全领域，SQL注入是一种常见的攻击手段，通过恶意构造SQL语句，攻击者可以获取、修改甚至删除数据库中的敏感数据。为了防止这种攻击，开发人员通常会采用各种防御策略，其中一...

案例预防SQL注入漏洞函数: 这是一种简单的防护措施，但并不全面，因为有些SQL注入攻击可能只需要较少的字符就能实现。接着，作者使用了`IsNumeric`函数来判断输入是否为数字，如果输入的是数字，则执行SQL查询，否则给出错误提示。这种方法...

SQL注入漏洞演示源代码: 了解SQL注入的基本概念后，开发者应采取以下预防措施： 1. **数据验证**：对所有用户输入进行严格的格式验证，确保其符合预期的类型和格式。 2. **转义输入**：使用函数（如PHP的mysqli_real_escape_string）对特殊...

sql注入万能密码: #### 一、SQL注入简介 SQL注入是一种常见的网络安全攻击方式，攻击者通过在Web应用程序的输入字段中插入恶意SQL语句来操纵后端数据库的行为。这种攻击通常利用了Web应用对用户输入数据的不充分过滤和验证。万能密码...

sql注入攻击防范解析: SQL注入攻击是网络安全领域中一个严重的问题，它发生在应用程序未能充分验证或清理用户输入的数据时。...在开发过程中，始终遵循安全编码的最佳实践，确保用户输入的安全性，是预防SQL注入的关键。

SQL注入文献.zip: 这些文献集合为理解SQL注入攻击的演变、检测技术和预防措施提供了一个全面的视角，对于网络安全研究者和Web开发人员来说都是宝贵的资源。通过深入学习和实践，我们可以增强Web应用程序的安全性，抵御SQL注入的威胁。

PHP+Mysql 带SQL注入源码下载: 这个"PHP+Mysql 带SQL注入源码下载"的主题涉及到一个常见的安全问题——SQL注入，以及如何处理和预防这种情况。下面将详细讨论SQL注入、PHP与MySQL的结合使用，以及如何防范SQL注入。 **SQL注入** SQL注入是一种...

sql注入Java过滤器: 配置在web.xml中，可以防止SQL注入，可以自己定义一些需要过滤的特殊字符

Python中防止sql注入的方法详解: 对于使用Python进行Web开发的人员来说，了解如何有效地预防SQL注入是非常重要的。本文将详细介绍几种在Python开发中防止SQL注入的方法，并通过实例来展示这些技术的应用。 #### SQL注入的原因与危害 SQL注入通常...

防止sql注入解决方案: 为了防止SQL注入，开发者需要采取一系列的预防措施，确保应用程序的安全性。以下是一些核心的解决方案： 1. **预编译语句（PreparedStatement）**：题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...

sql注入法攻击sql注入法攻击.rar: "sql注入法攻击.sql注入法攻击.rar"这个文件很可能是关于如何预防和应对SQL注入攻击的教学资料。在了解SQL注入攻击之前，我们首先要明白SQL（Structured Query Language）是用于管理和处理关系数据库的标准语言。...

预防XSS攻击和SQL注入XssFilter: 一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...

SQL注入攻击与防御: 因此，如何有效预防和减轻SQL注入攻击的影响，是网络安全领域中亟待解决的问题。为了防范SQL注入，本书《SQL注入攻击与防御》由专注于SQL注入安全研究的专家团队编写，内容涵盖所有与SQL注入攻击相关的信息。书中...

万能SQL注入程序: 在这个过程中，我们需要理解SQL注入的基本原理、如何预防以及如何进行有效测试。 SQL注入攻击的原理是攻击者通过输入恶意的SQL代码到应用的输入字段，以篡改原有的SQL查询，从而获取未经授权的数据访问、修改甚至...

Global site tag (gtag.js) - Google Analytics