怎么样防止sql注入
发布时间:2024-01-01 18:16:15 所属栏目:MsSql教程 来源:DaWei
导读: 在这篇文章中,我们来学习一下“怎么样防止sql注入,实际应用中如何实现”的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的
|
在这篇文章中,我们来学习一下“怎么样防止sql注入,实际应用中如何实现”的相关知识,下文有详细的讲解,易于大家学习和理解,有需要的朋友可以借鉴参考,下面就请大家跟着小编的思路一起来学习一下吧。 SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。 注入攻击演示 1. 正常情况下查询一个学生所选课程及完成情况只需要传入student_id,便可以查到相关数据。 根据响应结果,我们很快便能写出对应的sql,如下: select id,course_id,student_id,status from course where student_id = 4 2. 如果我们想要获取这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。 select id,course_id,student_id,status from course where student_id = 4 or 1 = 1 请求接口的时候将studendId 设置为4 or 1 = 1,这样这条sql的where条件就恒真了。sql也就等同于下面这样 select id,course_id,student_id,status from course 请求结果如下,我们拿到了这张表的所有数据 3. 查询mysql版本号,使用union拼接sql union select 1,1,version(),1 4. 查询数据库名 union select 1,1,database(),1 5. 查询mysql当前用户的所有库 union select 1,1, (SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) schemaName,1 看完上面这些演示后,你害怕了吗?你所有的数据配置都完全暴露出来了,除此之外,还可以完成很多操作,更新数据、删库、删表等等。 如何防止sql注入 1. 代码层防止sql注入攻击的最佳方案就是sql预编译 public List<Course> orderList(String studentId){ String sql = "select id,course_id,student_id,status from course where student_id = ?"; return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class)); } 这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。 2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储 3. 规定数据长度,能在一定程度上防止sql注入 4. 严格限制数据库权限,能最大程度减少sql注入的危害 5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应 关于“怎么样防止sql注入,实际应用中如何实现”就介绍到这了,如果大家觉得不错可以参考了解看看,如果想要了解更多,小编每天都会为大家更新不同的知识。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐