防止web项目中的SQL注入


Posted in MySQL onDecember 06, 2021

一、SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。

二、SQL注入攻击的总体思路

  • 1.寻找到SQL注入的位置
  • 2.判断服务器类型和后台数据库类型
  • 3.针对不同的服务器和数据库特点进行SQL注入攻击

三、SQL注入攻击实例

比如在一个登录界面,要求输入用户名和密码:

可以这样输入实现免帐号登录:

用户名: ‘or 1 = 1 –

密 码:

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下:

从理论上说,后台认证程序中会有如下的SQL语句:

String sql = "select * from user_table where username=
' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码,上面的SQL语句变成:
SELECT * FROM user_table WHERE username=
''or 1 = 1 -- and password=''

"""
分析SQL语句:
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;

然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
这还是比较温柔的,如果是执行
SELECT * FROM user_table WHERE
username='' ;DROP DATABASE (DB Name) --' and password=''
其后果可想而知…
"""

四、如何防御SQL注入

注意:但凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,

对于用户输入的内容或传递的参数,我们应该要时刻保持警惕,这是安全领域里的「外部数据不可信任」的原则,纵观Web安全领域的各种攻击方式,

大多数都是因为开发者违反了这个原则而导致的,所以自然能想到的,就是从变量的检测、过滤、验证下手,确保变量是开发者所预想的。

1、检查变量数据类型和格式

如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。

比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的规则,比如5-20个字符,只能由大小写字母、数字以及一些安全的符号组成,不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许用户提交任意字符串的场景,这就需要采用过滤等其他方案了。

2、过滤特殊符号

对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。

3、绑定变量,使用预编译语句

MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法

实际上,绑定变量使用预编译语句是预防SQL注入的最佳方式,使用预编译的SQL语句语义不会发生改变,在SQL语句中,变量用问号?表示,黑客即使本事再大,也无法改变SQL语句的结构

小结:

  • 1.使用预编译绑定变量的SQL语句
  • 2.严格加密处理用户的机密信息
  • 3.不要随意开启生产环境中Webserver的错误显示
  • 4.使用正则表达式过滤传入的参数
  • 5.字符串过滤
  • 6.检查是否包函非法字符

总的来说,防范一般的SQL注入只要在代码规范上下点功夫就能预防

以上所述是小编给大家介绍的防止web项目中的SQL注入,希望对大家有所帮助。在此也非常感谢大家对三水点靠木网站的支持!

MySQL 相关文章推荐
mysql字符串截取函数小结
Apr 05 MySQL
mysql查询的控制语句图文详解
Apr 11 MySQL
MySQL 分页查询的优化技巧
May 12 MySQL
Mysql8.0递归查询的简单用法示例
Aug 04 MySQL
MySQL数据库必备之条件查询语句
Oct 15 MySQL
MySQL数据库中varchar类型的数字比较大小的方法
Nov 17 MySQL
mysql中整数数据类型tinyint详解
Dec 06 MySQL
提高系统的吞吐量解决数据库重复写入问题
Apr 23 MySQL
MYSQL如何查看操作日志详解
May 30 MySQL
MySQL解决Navicat设置默认字符串时的报错问题
Jun 16 MySQL
MySQL的意向共享锁、意向排它锁和死锁
Jul 15 MySQL
MySql统计函数COUNT的具体使用详解
Aug 14 MySQL
mysql创建存储过程及函数详解
Dec 04 #MySQL
mysql5.6主从搭建以及不同步问题详解
MySQL图形化管理工具Navicat安装步骤
全面盘点MySQL中的那些重要日志文件
关于mysql中时间日期类型和字符串类型的选择
Nov 27 #MySQL
VS2019连接MySQL数据库的过程及常见问题总结
Linux7.6二进制安装Mysql8.0.27详细操作步骤
You might like
简单的用PHP编写的导航条程序
2006/10/09 PHP
mysql_fetch_assoc和mysql_fetch_row的功能加起来就是mysql_fetch_array
2007/01/15 PHP
PHP写MySQL数据 实现代码
2009/06/15 PHP
php 安全过滤函数代码
2011/05/07 PHP
php实现获取局域网所有用户的电脑IP和主机名、及mac地址完整实例
2014/07/18 PHP
php将从数据库中获得的数据转换成json格式并输出的方法
2018/08/21 PHP
PHP开发的文字水印,缩略图,图片水印实现类与用法示例
2019/04/12 PHP
禁止刷新,回退的JS
2006/11/25 Javascript
js操作Xml(向服务器发送Xml,处理服务器返回的Xml)(IE下有效)
2009/01/30 Javascript
Nodejs为什么选择javascript为载体语言
2015/01/13 NodeJs
JavaScript 异常处理 详解
2015/02/06 Javascript
JS折半插入排序算法实例
2015/12/02 Javascript
JS实现弹出下载对话框及常见文件类型的下载
2017/07/13 Javascript
vue2.0 循环遍历加载不同图片的方法
2018/03/06 Javascript
JavaScript根据json生成html表格的示例代码
2018/10/24 Javascript
JQuery常见节点操作实例分析
2019/05/15 jQuery
重命名批处理python脚本
2013/04/05 Python
Python常见数据结构详解
2014/07/24 Python
python中文编码问题小结
2014/09/28 Python
Go语言基于Socket编写服务器端与客户端通信的实例
2016/02/19 Python
利用python爬取散文网的文章实例教程
2017/06/18 Python
对pandas的dataframe绘图并保存的实现方法
2017/08/05 Python
Python3.4学习笔记之类型判断,异常处理,终止程序操作小结
2019/03/01 Python
python程序运行进程、使用时间、剩余时间显示功能的实现代码
2019/07/11 Python
Python Django 页面上展示固定的页码数实现代码
2019/08/21 Python
Python实现TCP通信的示例代码
2019/09/09 Python
css3制作动态进度条以及附加jQuery百分比数字显示
2012/12/13 HTML / CSS
利用纯CSS3实现tab选项卡切换示例代码
2016/09/21 HTML / CSS
简单html5代码获取地理位置
2014/03/31 HTML / CSS
土耳其风格手工珠宝:Ottoman Hands
2019/07/26 全球购物
英语自荐信范文
2013/12/11 职场文书
技术支持岗位职责
2015/02/13 职场文书
幼儿园园长工作总结2015
2015/05/25 职场文书
2016年小学教师师德承诺书
2016/03/25 职场文书
Redis实现订单自动过期功能的示例代码
2021/05/08 Redis
一文搞懂Golang 时间和日期相关函数
2021/12/06 Golang