`
myfreespace
  • 浏览: 228968 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

简单的sql注入及预防

阅读更多

简单的sql注入是通过web页面中的输入框输入特殊的查询字符在程序没有顾虑的情况下可以非法登录或获取数据库的信息。

//像下面简单的判断用户名密码的sql语句

$name = $this->params['form']['name'];
$pwd = $this->params['form']['pwd'];
$loginSql = "select * from users where username = $name and password = $pwd ";
因为sql语句中包含and , or,;,等特殊字符,在没对用户输入进行过滤的情况下很容易造成sql注入,下面看几种常见的sql

 1.知道用户名admin 不知道密码的情况下的注入,

归纳一下,主要有以下几点:
  1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
  双"-"进行转换等。
  2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
 
0
0
分享到:
评论

相关推荐

    SQL注入攻击实验报告

    ### SQL注入攻击实验报告知识点详解 #### 一、实验背景及目的 - **实验背景**:随着互联网技术的发展,Web应用程序越来越广泛地...在实际开发过程中,必须高度重视安全性问题,采取多种措施来预防和抵御SQL注入攻击。

    SQL注入全面讲解技术文档

    通过理解其原理,采取有效的预防措施,以及定期评估和更新防护策略,可以大大降低SQL注入攻击的风险。对于初学者和专业开发者来说,深入研究SQL注入的各个方面,包括入门、进阶和高级技巧,是提升系统安全性的关键...

    SQL注入漏洞全接触.ppt

    * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取攻击者想得到的资料。 二、 SQL注入漏洞的危害 * SQL注入漏洞可能导致敏感数据泄露、服务器被入侵、网站沦陷等严重后果。 * ...

    SQL注入攻击及其预防方法研究

    虽然该方法看似简单,但其实它并不十分可靠,因为SQL注入攻击者可以使用各种手法绕过这种简单的替换措施。例如,通过在关键词之间插入空格、使用十六进制或URL编码,或者使用多字节字符集编码,都可以使攻击代码逃避...

    基于ESAPI的防sql注入jar包及使用示例.rar

    **基于ESAPI的防SQL注入技术** 在网络安全领域,SQL注入是一种常见的攻击手段,通过恶意构造SQL语句,攻击者可以获取、修改甚至删除数据库中的敏感数据。为了防止这种攻击,开发人员通常会采用各种防御策略,其中一...

    案例预防SQL注入漏洞函数

    这是一种简单的防护措施,但并不全面,因为有些SQL注入攻击可能只需要较少的字符就能实现。 接着,作者使用了`IsNumeric`函数来判断输入是否为数字,如果输入的是数字,则执行SQL查询,否则给出错误提示。这种方法...

    SQL注入漏洞演示源代码

    了解SQL注入的基本概念后,开发者应采取以下预防措施: 1. **数据验证**:对所有用户输入进行严格的格式验证,确保其符合预期的类型和格式。 2. **转义输入**:使用函数(如PHP的mysqli_real_escape_string)对特殊...

    sql注入万能密码

    #### 一、SQL注入简介 SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web应用程序的输入字段中插入恶意SQL语句来操纵后端数据库的行为。这种攻击通常利用了Web应用对用户输入数据的不充分过滤和验证。万能密码...

    sql注入攻击防范解析

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序未能充分验证或清理用户输入的数据时。...在开发过程中,始终遵循安全编码的最佳实践,确保用户输入的安全性,是预防SQL注入的关键。

    SQL注入文献.zip

    这些文献集合为理解SQL注入攻击的演变、检测技术和预防措施提供了一个全面的视角,对于网络安全研究者和Web开发人员来说都是宝贵的资源。通过深入学习和实践,我们可以增强Web应用程序的安全性,抵御SQL注入的威胁。

    PHP+Mysql 带SQL注入源码 下载

    这个"PHP+Mysql 带SQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入、PHP与MySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...

    sql注入Java过滤器

    配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符

    Python中防止sql注入的方法详解

    对于使用Python进行Web开发的人员来说,了解如何有效地预防SQL注入是非常重要的。本文将详细介绍几种在Python开发中防止SQL注入的方法,并通过实例来展示这些技术的应用。 #### SQL注入的原因与危害 SQL注入通常...

    防止sql注入解决方案

    为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...

    sql注入法攻击sql注入法攻击.rar

    "sql注入法攻击.sql注入法攻击.rar"这个文件很可能是关于如何预防和应对SQL注入攻击的教学资料。 在了解SQL注入攻击之前,我们首先要明白SQL(Structured Query Language)是用于管理和处理关系数据库的标准语言。...

    预防XSS攻击和SQL注入XssFilter

    一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...

    SQL注入攻击与防御

    因此,如何有效预防和减轻SQL注入攻击的影响,是网络安全领域中亟待解决的问题。 为了防范SQL注入,本书《SQL注入攻击与防御》由专注于SQL注入安全研究的专家团队编写,内容涵盖所有与SQL注入攻击相关的信息。书中...

    万能SQL注入程序

    在这个过程中,我们需要理解SQL注入的基本原理、如何预防以及如何进行有效测试。 SQL注入攻击的原理是攻击者通过输入恶意的SQL代码到应用的输入字段,以篡改原有的SQL查询,从而获取未经授权的数据访问、修改甚至...

Global site tag (gtag.js) - Google Analytics