SQL注入攻击以及防护
来源:互联网 发布:mac itunes 同步铃声 编辑:程序博客网 时间:2024/05/19 22:49
在学习、面试过程中,多次接触过SQL注入攻击,今天我们就来好好总结一下吧。
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL注入攻击是指提交一段数据库代码,根据程序返回的结果获得某些他想得知的数据中,或者是删除数据库中重要数据以此来达到破坏数据库的目的。相关的SQL注入可以通过测试工具pangolin进行。
对于如何进行注入,我们可以举一个简单的例子,比如查询某一个东西,存在select * from admin where username='XXX' and password='YYY' ,此时如果用户名文本框内输入:abc'' or 1=1-- 在密码框内输入:123 则SQL语句变成:select * from admin where username='abc''' or 1=1 --and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
对于sql注入,我们应该懂得如何预防。
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
双"-"进行转换等,要在客户端和服务端都进行相关的检测。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。如果数据库是SQL Server,就可以用有名字的参数了,格式是“@”字符加上参数。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息,比如对用户名和密码进行加密,这样子用户输入的信息就对数据库没有任何意义了。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,避免黑客利用错误知道数据库的名字,表名等。
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,如大名鼎鼎的Acunetix的Web漏洞扫描程序等。
- SQL注入攻击以及防护
- sql 注入防护与xss攻击防护
- SQL 注入攻击原理及防护
- sql注入定义、原理、攻击和防护
- MSSQL注入攻击的防护
- 注入攻击服务器与防护
- MSSQL注入攻击的防护
- SQL注入攻击原理以及基本方法
- 超级IIS防火墙,集防盗链,URL重写,关键词过滤,SQL注入防护,上传攻击防护等,IDC网站天使
- 注入攻击--SQL注入
- MSSQL注入攻击服务器与防护
- MSSQL注入攻击服务器与防护 (转)
- asp.net 360通用防护代码,防止sql注入与xss跨站漏洞攻击
- 泛洪攻击以及防护方法
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP SQL 注入攻击的技术实现以及预防办法
- 简易学生管理系统(IO流、文件、)
- VNC服务
- BDB C++ API sample
- HAXM is not installed
- Android 6.0 权限管理
- SQL注入攻击以及防护
- 使用JavaFX设置一个简单日历
- c语言模拟实现strcpy函数
- 运算符优先级和结合性
- 根据姓名查询年龄是否超过100
- 机动车缉查布控即席分析引擎
- android c++
- RabbitMq搭建服务器(Centos详细版)
- C/C++ redirect stdout