sql注入问题引起的思考
来源:互联网 发布:蚁群算法原理图 编辑:程序博客网 时间:2024/04/30 23:22
前几天,公司给我了份服务器上测试的漏洞需要修复。
我第一次看到了这个词:sql注入漏洞。
后面去上面了解了下这个sql注入漏洞,通过是指通过客户输入到后台的那些能到数据库得到数据的位置上,恶性的输入一些对数据有害的操作。
网上:
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。
虽然工作了快一年半,但是以前只是想到得到一个需求,然后怎么样去实现这个功能,从来没有思考过别的,认为完成了这个功能就OK。
慢慢的现在开始知道了 效率和安全这两个词。也许这就是工作经验的重要吧。但是没有一个规范的文档会告诉我们编程中需要注意的所有问题和事项。这些都是自己工作中慢慢遇到,自己解决之后得到的经验。
像sql注入,我才发现我自己原来写的代码从来就不会考虑安全问题。
sql注入的解决方式:
前台对客户输入必须验证和加以管理,输入的是数字就必须验证是否输入的数字,输入的是字符串,必须要验证 ‘ 单引号是否存在,存在可以提示,也可以替换。
然后后台中 ,sql语句尽量不用自己拼接的。用预编译,用传参。
网上:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
想了解更多,就得自己百度去学习,这里我只是写了自己的理解。
然后,这个让我以后有了一个大概的方向,多多了解和积累项目优化和安全的经验。
0 0
- sql注入问题引起的思考
- 一个问题引起的思考
- 对SQL注入的一点思考
- 学习SQL注入引发的思考
- sql注入的问题
- SQL注入的问题
- 由SQL Server的job出错调查引起的思考
- 关于一个sql注入注入题目的思考
- 吃饭引起的思考
- Disruptor引起的思考
- ClassNotFoundException引起的思考
- UAT测试后上线出现问题的引起的思考
- 由返回局部指针问题引起的思考!
- Struts2单例引起的问题及解决思考
- ubuntu下一个乱码问题引起的思考和学习
- Struts2单例引起的问题及解决思考
- 上游哥们积压问题导致我加班引起的思考
- 主从复制问题引起的架构优化思考
- 系统侧滑返回
- 最快速度找到内存泄漏
- Avoid duplicate form submissions
- 如何实现 Docker 与分布式数据库结合
- JavaWeb扩展--Freemarker
- sql注入问题引起的思考
- iOS 9-iPhone6s-iPadmini4企业证书信任
- LaTeX 制作幻灯片
- 行人检测“Pedestrian Detection with Unsupervised Multi-Stage Feature Learning”
- 通过 Intent 传递类对象
- 操作系统之我见-进程
- 开源项目: ZThread 在Ubuntu上的编译
- tomcat发布项目,删除仍报错
- Android应用(测试/正式)服务器端接口切换方法