如何避免 sql 注入?_使用()方式可以避免sql-程序员宅基地

技术标签: SQL注入  

如何避免 sql 注入?

1、概念

SQL 注入(SQL Injection),是 Web 开发中最常见的一种安全漏洞。

可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

 

2、造成 SQL 注入的原因 

程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 脚本,程序在接收后错误的将攻击者的输入作为 SQL 语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意 SQL 语句。

 

如 从用户表根据用户名 ConstXiong 和密码 123 查用户信息

select * from user where username = 'ConstXiong' and password = '123'

恶意修改用户名参数 ConstXiong -> ConstXiong' or 1=1 --

select * from user where username = 'ConstXiong' or 1=1 --' and password = '123'

SQL 中 -- 是注释标记,如果上面这个 SQL 被执行,就可以让攻击者在不知道任何用户名和密码的情况下成功登录。

 

3、预防 SQL 注入攻击的方法

  • 严格限制 Web 应用的数据库的操作权限,给连接数据库的用户提供满足需要的最低权限,最大限度的减少注入攻击对数据库的危害
  • 校验参数的数据格式是否合法(可以使用正则或特殊字符的判断)
  • 对进入数据库的特殊字符进行转义处理,或编码转换
  • 预编译 SQL(Java 中使用 PreparedStatement),参数化查询方式,避免 SQL 拼接
  • 发布前,利用工具进行 SQL 注入检测
  • 报错信息不要包含 SQL 信息输出到 Web 页面

 

参考:避免 SQL 注入

 


【Java面试题与答案】整理推荐

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meism5/article/details/90414125

智能推荐

freeRTOS学习 — 事件标志组,很好用哦!!!_freertos里成功标志位用什么好-程序员宅基地

文章浏览阅读1.4k次。freeRTOS中还有一种可以用于任务之间同步的手段 — 事件标志组。_freertos里成功标志位用什么好

cad命令栏怎么调出来_中望CAD菜单栏和功能栏都消失怎么办-程序员宅基地

文章浏览阅读4.9k次。在我们使用中望CAD的时候,有时候会发现菜单栏和功能栏都消失不见了,这时候我们很多操作习惯可能就可能无法实现,当遇到这个问题我们该怎么办了?首先,我使用中望CAD安装包进行重新安装,但是还是没有作用,这时候可能确认的是并非软件问题,而是我们操作中出现的问题。第二,我们可以选择的方法有两种,第一就是用命令行输入命令去解决,第二就是使用我们常用的鼠标去进行操作。(1)用命令行的方法:1、在中望CAD..._中望cad命令栏不见了

xmysql:可为MySql生成REST API的神奇命令_mysql x devapi-程序员宅基地

文章浏览阅读1.5w次,点赞2次,收藏14次。原文:xmysql: one command to generate REST APIs for any MySql database 作者:o1lab 翻译:Vincent为什么用这个命令?为MySql数据库快速生成REST API,而且还不遵循诸如rails、django等框架的约定,这可能是一种不太受欢迎的冒险行为。 但是也正因为如此。该命令的功能都是由node packa_mysql x devapi

【java web毕业设计】 基于opencv与SVM的车牌识别系统_车牌识别 毕业设计 web-程序员宅基地

文章浏览阅读68次。基于opencv与SVM的车牌识别系统用python3+opencv3做的中国车牌识别,包括算法和客户端界面,只有2个文件,surface.py是界面代码,predict.py是算法代码,界面不是重点所以用tkinter写得很简单。python3.7.3opencv4.0.0.21numpy1.16.2TkinterPIL5.4.1算法思想来自于网上资源,先使用图像边缘和车牌颜色定位车牌,再识别字符。由于训练样本有限,测试时会发现,车牌字符识别,可能存在误差,尤其是第一个中文字符出现的误差概率较大_车牌识别 毕业设计 web

计算机系统要素-从零开始构建现代计算机-答案_计算机系统要素:从零开始构建现-程序员宅基地

文章浏览阅读1.6k次,点赞3次,收藏16次。关于这本书的好处 豆瓣上已经有一堆人说了 我就不重复了 直接附上项目答案练习题答案全套工具这本书的PDF可以百度自己下载内容简介本书通过展现简单但功能强大的计算机系统之构建过程,为读者呈现了一幅完整、严格的计算机应用科学大图景。本书作者认为,理解计算机工作原理的最好方法就是亲自动手,从零开始构建计算机系统。通过12个章节和项目来引领读者从头开始,本书逐步地构建一个基本的硬件平台和现代..._计算机系统要素:从零开始构建现

VMware虚拟机上Ubuntu与Windows XP文件共享_vmmuyub-程序员宅基地

文章浏览阅读3.4k次。现在使用虚拟机的人越来越多,它的确给我们带来了很大的方便。但是其中总会有一些问题困扰着我们,今天我就给大家讲一讲我的一点小小的经验。关于VMware虚拟机上Ubuntu与Windows XP文件共享的问题! 我的情况:本人电脑系统为Windows XP,在该系统上装了VMware 6.0虚拟机,并在虚拟机上安装了Ubuntu 9.04。最终实现了两系统的文件共享!(其他系统大同小略) 进入正题,以下为详细步骤: 一. 首先确保你的虚拟系统正确安装了VMware-Tools,并_vmmuyub

随便推点

webstorm 扩大内存_webstorm设置内存-程序员宅基地

文章浏览阅读1.1k次。个人感知-----vs/ws对于vscode 总是很多东西操作不熟练 还是喜欢用wenstorm ,可视化能力简直不要太好!!!但是不得不承认ws真的巨慢巨卡,尤其是公司电脑配置不高的情况下 更是恼火5分钟改个bug 提代码用了半小时。面对测试及其他人的冷眼斜视,我很无奈!!!更改一下内存设置,默认值为2M多一点 ,也是太慢好不好!所以玩命加!!!只能说还有是有点点效果的 操作切换分支时没有那么卡 持续找解决办法。。。。。..._webstorm设置内存

python docx官网_Python操作docx文档-程序员宅基地

文章浏览阅读1.2k次。最近学 Python 的一部分原因是我想用Python的docx包来写一个自动化生成word报告的脚本(需求产生动力),本来是打算用rmarkdown来出报告的,其对网页版支持比较好(样式也好看),对PDF支持也不错(毕竟可以依靠latex),但是对于word的可操作性并是不很好(可能使用的比较粗糙);最后听人说Python的docx包不错,专门对于window下的word进行操作,所以尝试下对于..._python word处理 官网

Un*、Id分别突变情况下单闭环直流调速系统仿真-程序员宅基地

文章浏览阅读1.7k次,点赞2次,收藏9次。P、PI调节器在直流电机调速上的MATLAB SIMULINK仿真分析

Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】-程序员宅基地

文章浏览阅读2.1k次。Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理_scram-sha-256

cad字体修改方案分享-缺少SHX字体、替换字体_cad缺少字体如何用万能字体替换-程序员宅基地

文章浏览阅读1.3w次,点赞3次,收藏13次。本文提供了cad缺少SHX字体时的解决方案,对于饱受每次打开都被提醒更换字体的兄弟有较大帮助。_cad缺少字体如何用万能字体替换

干货分享:在Windows下使用Visual Studio搭建C语言开发环境_visual studio c语言-程序员宅基地

文章浏览阅读4.3k次,点赞5次,收藏29次。前言:本文将教大家如何使用 VIsual Studio Code 搭建 C 语言开发环境,包括使用 VS Code 如何编译和调试 C 语言程序,需要 用到的工具有 Visual Studio Code 、MinGw-w64 。1. 安装 C/C++ 插件C/C++ 是由 Microsoft 发布的支持 C/C++ 智能提示和调试等功能的插件,安装步骤如下:使用快捷键Ctrl + Shift + X呼出扩展面板在搜索框中输入:C/C++再安装由Microsoft提供的名为C/C++插._visual studio c语言

推荐文章

热门文章

相关标签