如何预防SQL注入 - 尽人事，知天命 - ITeye博客

`

lijingshou

浏览: 974308 次
性别:
来自: 杭州

最近访客更多访客>>

ggggoo

hb_wxd

leelun

zjy_369

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

xinglianxlxl： post请求如何自动跳转呢
使用HttpClient处理自动跳转
feihangchen：有什么办法可以找出合并的图片的位置吗？一张大图片，一张小图片， ...
使用Java合并图片
javapub： good point!
WebElement.getText()为空解决方法
世界尽头没有你： Selenium自动化测试从入门到精通(Java版)百度网盘地 ...
Selenium自动化测试的Build.xml例子
u013348647：请问$Proxy0的.class文件您是怎么提出来的？
java 动态代理深度学习(Proxy,InvocationHandler),含$Proxy0源码

如何预防SQL注入

博客分类：

安全性测试

阅读更多

曾经做过一次SQL注入的training,下面是"如何预防SQL注入"部分

1.不要信赖用户的输入,客户端的验证是不可靠的,要在服务端验证客户的数据
2.程序中尽量不要使用Admin帐号去操作数据库,要给予严格的权限控制.就像客户给我们的Win7机器,永远都只是受限制的,需要什么新的权限,都要申请
3.一些重要的字段,比如密码,应该加密后保存在数据库中
4.当页面上有错误发生时,不要暴露原始的错误信息,要显示定制化的页面
5.对于数据库中的存储过程,如果用不到,而且具有危险性,则最好删除它们,当然这个需要DBA的帮助
6.在Java中,使用PreparedStatement,形式如下:

stringsql = "select * from people p where p.id = ? and p.name = ?";
　　preparedstatement ps = connection.preparestatement(sql);
　　ps.setint(1,id);
　　ps.setstring(2,name);
　　resultset rs = ps.executequery();

Java web应用中,应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement

0
顶

1
踩

分享到：

基于迭代开发的自动化测试脚本开发流程1 | 一些Java学习计划

2011-02-21 17:31
浏览 2381
评论(0)
分类:非技术
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

案例预防SQL注入漏洞函数: 本案例中，提供了几种预防SQL注入漏洞的方法。首先，我们来看提供的`checkStr`函数，它用于过滤掉可能含有SQL特殊字符的输入。函数内部，`replace`函数被多次调用来替换掉空格 `'`（单引号）、`;`（分号）、`--`...

在ASP.net中如何预防SQL注入式攻击.pdf: 为了预防SQL注入攻击，可以采用多种方法。首先，对于用户输入的数据进行严格的检查是至关重要的。这包括检查并处理那些可能导致SQL注入的特殊字符，如单引号（'）、双引号（"）、分号（;）、逗号（,）、冒号（:）和...

怎样预防SQL注入？: ### 如何有效预防SQL注入？ #### 标题与描述中的核心知识点 - **SQL注入**：一种常见的安全攻击方式，攻击者通过将恶意SQL代码插入应用程序的查询中，以达到非法访问或破坏数据库的目的。 - **ASP.NET应用**：一种...

预防SQL注入：将Web入侵消灭在萌芽之中.pdf: 从给定文件的内容中，我们可以了解到预防SQL注入的必要性和相关措施。以下将详细阐释这些知识点：首先，SQL注入是一种常见的网络攻击方式，攻击者通过在Web表单提交或通过URL查询字符串注入SQL命令，以对数据库...

基于ESAPI的防sql注入jar包及使用示例.rar: **基于ESAPI的防SQL注入技术** 在网络安全领域，SQL注入是一种常见的攻击手段，通过恶意构造SQL语句，攻击者可以获取、修改甚至删除数据库中的敏感数据。为了防止这种攻击，开发人员通常会采用各种防御策略，其中一...

sql注入Java过滤器: 配置在web.xml中，可以防止SQL注入，可以自己定义一些需要过滤的特殊字符

Python中防止sql注入的方法详解: 对于使用Python进行Web开发的人员来说，了解如何有效地预防SQL注入是非常重要的。本文将详细介绍几种在Python开发中防止SQL注入的方法，并通过实例来展示这些技术的应用。 #### SQL注入的原因与危害 SQL注入通常...

sql注入攻击防范解析: SQL注入攻击是网络安全领域中一个严重的问题，它发生在应用程序未能充分验证或清理用户输入的数据时。...在开发过程中，始终遵循安全编码的最佳实践，确保用户输入的安全性，是预防SQL注入的关键。

SQL注入攻击及其预防方法研究: 针对SQL注入攻击的预防方法可以从程序编写和服务器设置两方面入手。在程序编写方面，开发者需要遵循以下最佳实践： 1. 使用参数化查询：这是预防SQL注入的最有效方式。通过使用参数化查询，可以保证传入的参数仅仅...

sql注入原理简介: 在Web开发中，预防SQL注入的常用方法包括使用PreparedStatement、使用存储过程、对所有输入进行验证，以及使用ORM框架等。通过这些技术手段，可以有效地阻止恶意用户通过SQL注入攻击的方式，获取敏感数据或破坏...

超级SQL注入工具V1.0 正式版: 总结来说，《超级SQL注入工具V1.0 正式版》是学习和检测SQL注入的重要资源，通过使用该工具，我们可以更好地理解和预防SQL注入攻击，提高系统的安全性。在实际工作中，我们应该时刻保持警惕，采取有效的防护措施，...

sql注入工具视频讲解: 6. **防护策略**：最后，会提到预防SQL注入的最佳实践，如参数化查询、输入验证、使用ORM框架、以及保持软件更新。通过观看这个"SQL注入工具视频讲解"，你将能够掌握SQL注入的基本原理，了解常用工具的使用，并...

ASP.NET下如何防范SQL注入式攻击: 在ASP.NET开发环境中，防范SQL注入式攻击是确保应用程序安全的关键步骤之一。SQL注入是一种常见的攻击方式，通过将恶意SQL代码插入到查询语句中，攻击者可以绕过身份验证，篡改数据，甚至完全控制数据库。为了保护...

黑盟小组sql注入工具和源码VB的: 这对于我们理解和预防SQL注入攻击非常有价值。源码学习可以帮助我们识别潜在的安全隐患，比如未经过滤的用户输入、动态SQL构造等，并在自己的项目中避免这些错误。 "asp注入检测.zip"则可能包含了一种用于检测ASP...

SQL 注入攻击测试方法介绍: SQL注入攻击是一种常见的网络安全威胁，它利用了应用...测试和预防SQL注入需要对SQL语法有深入理解，同时在开发过程中注重输入验证和安全编码。通过上述方法，可以有效地识别和防御SQL注入攻击，保护系统的数据安全。

SQL注入—ASP注入漏洞全接触.pdf: 对于开发者而言，强化输入验证，使用参数化查询，限制数据库账户权限等措施，是预防SQL注入的有效手段。而对于安全研究人员，深入了解SQL注入原理与实践，能够帮助他们在检测和修复漏洞方面更加高效。总之，SQL...

sql注入与防止: ### SQL注入及其防范措施 #### 一、SQL注入概述 SQL注入是一种常见的网络安全攻击方式，攻击者通过在Web应用程序接收的输入数据中插入...同时，定期进行安全审计和渗透测试也是预防SQL注入等安全问题的有效手段之一。

SQL注入源码: 这个“低调入侵检测1.3工程”可能是用于检测和预防SQL注入的一个项目。它可能包含了检测SQL注入行为的算法、规则库以及相关的日志分析功能。通过分析应用程序的输入，它可以识别出潜在的注入尝试，并采取措施阻止或...

sql注入基本代码: PHP是一种广泛使用的服务器端脚本语言，常用于构建动态网站，因此了解如何在PHP中预防SQL注入至关重要。首先，我们要明白SQL注入的基本原理。攻击者通过输入包含恶意SQL语句的数据，欺骗服务器执行非预期的数据库...

SQL注入字符转换器sqlencode: 预防SQL注入的最佳实践包括： 1. 使用参数化查询或预编译语句：这是防止SQL注入最有效的方法，因为它确保了用户输入被作为数据而不是代码处理。 2. 输入验证：对用户提供的数据进行严格的验证，限制允许的字符类型...

Global site tag (gtag.js) - Google Analytics