MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。
MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起使用。而且,PHP是主导互联网的Linux- Apache服务器的主要语言。因此,这意味着黑客可以很容易地利用PHP就像Windows的间谍软件一样。
黑客向一个无担保的网页表单输入大量恶意代码(通过下拉菜单,搜索框,联系表单,查询表单和复选框)。
恶意代码将被送到MySQL数据库,然后“注入”。要查看这个过程,首先考虑以下基本的MySQL SELECT查询语句:
SELECT * FROM xmen WHERE username = ‘wolverine’
此查询会向有“xmen”表的数据库要求返回某一段MySQL中用户名为“wolverine”的数据。
在Web表单中,用户将输入wolverine,然后这些数据将被传到MySQL查询。
如果输入无效,黑客还有其他方法控制数据库,如设置用户名:
‘ OR ’‘=’‘
你可能认为使用正常的PHP和MySQL句法执行输入是安全的,因为每当有人输入恶意代码,他们将会得到一个“无效的查询”的消息,但事实并非如此。黑客很聪明,且因为涉及数据库清理和重设管理权限,任何一个安全漏洞都不容易纠正。
两种对MySQL注入攻击的常见误解如下:
1.网管认为恶意注入可用防病毒软件或反间谍软件清理。事实是,这种类型的感染利用了MySQL数据库的弱点。它不能简单地被任何反间谍软件或防病毒程序删除。
2. MySQL注入是由于复制了从另一台服务器或外部来源被感染的文件。事实并非如此。这种类型的感染是由于有人将恶意代码输入到网站不受保护表单,然后访问数据库。MySQL注入可通过删除恶意脚本清除掉,而不是使用防病毒程序。
用户输入验证流程
备份一个清洁的数据库,并放置在服务器外。输出一套MySQL表并保存在桌面。
然后转到服务器,先暂时关闭表单输入。这意味着表单不能处理数据,网站被关闭了。
然后启动清理进程。首先,在您的服务器上,清理遗留的混乱的MySQL注入。更改所有的数据库,FTP和网站的密码。
在最坏的情况下,如果你清理迟了,你可以再次检查在您服务器上运行的隐藏程序。这些隐藏程序是黑客安装的木马。将其完全删除并更改所有FTP权限。扫描服务器上所有木马程序和恶意软件。
当您修改PHP脚本程序时,将处理表单数据。防止MySQL注入的一个好办法是:连用户数据也不信任。用户输入验证对于防止MySQL注入是相当重要的。
设计一个过滤器筛选出用户输入,以下是几点提示:
1.输入到表单的是数字。你可以通过测试它等于或大于0.001 (假设你不接受一个零)验证它是不是数字。
2.如果是Email地址。验证其是否由允许的字符组合构成,如“ @ ” ,A-Z,a-z或一些数字。
3.如果是人名或用户名。可以通过是否包含任何非法字符验证它,如and和*,是可用于SQL注入的恶意字符。
验证数字输入
下面的脚本验证了是否输入一个从0.001至无限大的有效数字。值得一提的是,在一个PHP程序中,甚至可以允许使用一定范围内的数字。使用此验证脚本可确保输入到表单的只是一个数字。
假设在程序中有三个数字变量;您需要将它们进行验证,我们将它们命名num1 , num2和num3:
//Validate numerical input
if($_POST['num1'] >= 0.001 && $_POST['num2'] >= 0.001 && $_POST['num3'] >= 0.001)
{
}
else
{
}
?>
And条件可被延长到能容纳超过三个数字。所以,如果你有10个,您将只需要扩展AND语句。
这可以用来验证一个只接受数字的表单,如合同数量,许可证号码,电话号码等。
验证文字和邮件地址的输入
以下可以用于验证诸如用户名,名字以及电子邮件地址的表单输入:
//Validate text input
if (! preg_match('/^[-a-z.-@,'s]*$/i',$_POST['name']))
{
}
else
if ($empty==0)
{
}
else
{
}
?>
该验证脚本的一个优点是,它不接受空白输入。一些恶意用户还通过空白投入操纵数据库。使用上面的脚本,只验证一个文字变量, “ $name”。这意味着,如果有三个文字变量,你可以分别对每个变量设置一个验证脚本,以确保每一个变量都在进入数据库前通过了审查。http://www.IDCBeta.com/
相关推荐
MySQL注入的意图是接管网站数据库并窃取信息。常见的开源数据库,如MySQL,已经被许多网站开发人员用来储存重要信息,如密码,个人信息和管理信息。 MySQL之所以流行,是因为它与最流行的服务器端脚本语言PHP一起...
MySQL注入辅助程序是一种专门用于检测和利用MySQL数据库系统安全漏洞的工具。由知名安全专家许云峰开发,这款工具设计给有一定技术基础的用户使用,它可以帮助网络安全专业人员或者开发者定位并修复潜在的SQL注入...
标题中的"mysql-connector-java-5.1.5-bin.jar"和"mysql-connector-java-5.1.40-bin"分别代表了两个不同版本的MySQL Connector/J,5.1.5和5.1.40。这些版本号表明了该驱动程序的发布日期和更新状态,一般来说,更高...
mysql驱动包 mysql-connector-java-5.1.13-bin.jar 方便快捷获取。。。
MySQL驱动包`mysql-connector-java-5.1.7-bin.jar`是用于Java应用程序与MySQL数据库之间通信的重要组件。这个驱动程序实现了Java Database Connectivity (JDBC) API,使得Java开发者可以利用标准的JDBC接口来操作...
MySQL是世界上最流行的开源关系型数据库管理系统之一,而`mysql-connector-java`是MySQL官方提供的用于Java应用程序连接到MySQL服务器的驱动程序。`mysql-connector-java-5.1.27.jar`是这个驱动的一个特定版本,它...
在本压缩包中,我们有两个版本的MySQL Connector/ODBC驱动程序,分别是`mysql-connector-odbc-8.0.15-winx64.msi`和`mysql-connector-odbc-8.0.15-win32.msi`,分别适用于64位和32位的Windows操作系统。 1. **MySQL...
SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的操作,进而获取敏感数据、修改数据甚至破坏整个数据库...
此外,MySQL数据库还支持多种其他特性,如事务管理、存储过程、触发器、视图、索引等,这些都可以通过Java应用程序利用`mysql-connector-java`驱动进行操作。对于大型企业级应用,还可能涉及到连接池(如C3P0、...
`mysql-connector-odbc-5.3.4-win32.msi` 文件是 MySQL Connector/ODBC 5.3.4 版本的安装程序,专为 32 位 Windows 操作系统设计。 MySQL Connector/ODBC 的主要功能包括: 1. **数据源管理**:它允许用户创建、...
总之,"mysql-connector-java-gpl-5.1.36"是用于Java应用程序与MySQL 5.1数据库通信的驱动程序,通过JDBC API提供数据库操作的能力。理解这些核心概念和用法,可以帮助开发者有效地使用MySQL数据库进行Java编程。
MySQL驱动jar包,即`mysql-connector-java`,是MySQL数据库与Java应用程序之间通信的关键组件。这个jar包包含了Java编程语言所需的类库,使得开发者能够通过JDBC(Java Database Connectivity)接口连接到MySQL...
在这个"mysql-connector-java-8.0.11"压缩包中,包含的是MySQL官方发布的针对Java的最新版本连接器,版本号为8.0.11。 1. **JDBC接口**:JDBC是Java语言访问数据库的标准接口,由Java SE的java.sql包提供。它定义了...
本文将深入探讨这两个文件:"mysql-connector-java-5.1.40.zip" 和 "mysql-connector-java-5.1.10.jar",以及它们在Java开发中的作用。 首先,`mysql-connector-java-5.1.40.zip` 是一个压缩文件,包含了MySQL ...
总之,"mysql-connector-java-5.1.7-bin.jar"是Java应用程序连接到MySQL数据库的关键组件。通过理解和正确使用这个驱动,开发者可以轻松地在Java项目中集成MySQL数据库,实现数据的存储、检索和其他复杂的数据库操作...
- `mysql-connector-java-5.1.46-bin.jar` 和 `mysql-connector-java-5.1.27-bin.jar` 是Java的归档(Archive)文件,它们包含了MySQL Connector/J的所有类和资源,供Java虚拟机(JVM)加载和使用。`bin`通常表示这...
首先,MySQL ODBC驱动程序(mysql-connector-odbc)是MySQL AB公司开发的一个软件,它允许应用程序通过ODBC API与MySQL服务器通信。ODBC是一种数据访问接口,它提供了一种统一的方式来访问不同类型的数据库,无论...
MySQL Connector/J是MySQL数据库官方提供的Java...总的来说,"mysql-connector-java-5.1.45-bin.jar"是一个关键组件,用于Java应用程序与MySQL数据库的交互,它的正确使用和配置对于开发基于Java的数据库应用至关重要。
PHP手工注入,全称MySQL手工SQL注入,是指攻击者通过输入恶意的SQL语句,利用应用程序对用户输入数据的不恰当处理,从而操控数据库,获取敏感信息或执行非授权操作。这种攻击方式通常发生在开发者未对用户输入进行...
MySQL是世界上最受欢迎的关系型数据库管理系统之一,而`mysql-connector-java`是官方提供的Java数据库连接器,用于在Java应用程序中与MySQL服务器进行通信。本文将详细介绍`mysql-connector-java-5.1.23-bin.jar`这...