2. 程式人生 > >防sql注入方法

防sql注入方法

阿新 發佈:2018-12-12

一、什麼是sql注入
sql注入是比較常見的網路攻擊方式之一,它不是利用作業系統的bug進行攻擊,而是通過程式設計程式碼的疏漏,通過編寫特定的sql語句,進行資料庫的非法訪問。
二、 sql注入流程
尋找sql注入位置
判斷伺服器型別和後臺資料型別
針對不同的伺服器和資料庫特點進行sql注入
三、防sql注入
1、過濾掉一些常見的資料庫操作關鍵字:select ,update,delete,and,*等,或者通過系統函式addslashes()進行過濾
2、在php配置檔案中register_globals = off;設定為關閉狀態
//將註冊全域性變數關閉。比如接受post表單的值使用

post["user"],registerglobals=on;使 usee可以接收表單的值。
3、SQL書寫時,儘量不要省略小引號和單引號
4、提高資料庫命名技巧,對於一些重要的欄位根據程式的特點命名
5、對於常用的方法加以封裝,避免直接暴漏SQL語句
6、開啟php安全模式safe_mode=on
7、開啟magic_quotes_gpc來防止SQL注入SQL注入
它開啟後將自動把使用者提交的SQL語句的查詢進行轉換,把轉義為\,這對防止SQL注入有重大作用
8、控制錯誤資訊關閉錯誤提示資訊,將錯誤資訊寫到系統日誌。
9、使用mysqli或pdo處理

相關推薦

sql注入方法

一、什麼是sql注入 sql注入是比較常見的網路攻擊方式之一,它不是利用作業系統的bug進行攻擊,而是通過程式設計程式碼的疏漏,通過編寫特定的sql語句,進行資料庫的非法訪問。 二、 sql注入流程 尋找sql注入位置 判斷伺服器型別和後臺資料型別 針對不同的伺服器和資料庫特點

jquery sql注入方法

function injectChk($sql_str) { //防止注入         $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|out

javasql注入方法小結

本文對java操作資料庫的一項重點內容——防sql注入進行說明。對現有方法進行了簡單優劣討論與總結,供大家參考討論。 重點:不要將使用者輸入內容,在未經檢查的情況下,直接拼接為sql語句進行資料庫訪問操作。 防sql注入方法如下: 過濾輸入 對輸入內容

C#SQL注入程式碼的三種方法

對於網站的安全性,是每個網站開發者和運營者最關心的問題。網站一旦出現漏洞,那勢必將造成很大的損失。為了提高網站的安全性,首先網站要防注入,最重要的是伺服器的安全設施要做到位。 下面說下網站防注入的幾點要素。   一:丟棄SQL語句直接拼接,雖然這個寫起來很快

SqlParameterSQL注入方法

1、 SqlParameter 建構函式SqlParameter(String, SqlDbType, Int32,ParameterDirection, Byte, Byte, String, DataRowVersion, Boolean, Object,String,

.Netsql注入方法總結

#防sql注入的常用方法: 1、服務端對前端傳過來的引數值進行型別驗證; 2、服務端執行sql,使用引數化傳值,而不要使用sql字串拼接; 3、服務端對前端傳過來的資料進行sql關鍵詞過來與檢測; #著重記錄下服務端進行sql關鍵詞檢測: 1、sql關鍵詞檢測類: 1 pub

php對前臺提交的表單資料做安全處理(SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

php用於SQL注入的幾個函式

用於防SQL注入的幾個函式 不要相信使用者的在登陸中輸入的內容,需要對使用者的輸入進行處理 SQL注入: ' or 1=1 #   防止SQL注入的幾個函式:   addslashes($string):用反斜線引用字串中的特殊字元' " \ $u

MySQLSQL注入

1,mysql_real_escape_string()函式已經不安全,可以利用編碼的漏洞來實現輸入任意密碼就能登入伺服器的注入攻擊 2,使用擁有Prepared Statement機制的PDO和MYSQLi來代替mysql_query(注:mysql_query自 PHP 5.5.0 起已

ubuntu上安裝Apache2+ModSecurity及實現SQL注入演示

ubuntu上安裝Apache2+ModSecurity及實現防SQL注入演示 一、Apache2 的安裝 1.1、安裝環境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu) 安裝命令: 更新安裝源:

回頭探索JDBC及PreparedStatementSQL注入原理

概述 JDBC在我們學習J2EE的時候已經接觸到了,但是僅是照搬步驟書寫,其中的PreparedStatement防sql注入原理也是一知半解,然後就想回頭查資料及敲測試程式碼探索一下。再有就是我們在專案中有一些配置項是有時候要變動的,比如資料庫的資料來源,為了在修改配置時不改動編譯的程式碼,我們把要變動的

Python 資料庫,操作mysql,sql注入,引數化

  demo.py(防sql注入): from pymysql import * def main(): find_name = input("請輸入物品名稱:") # 建立Connection連線 conn = connect(host='local

mybatissql注入

MyBatis如何防止SQL注入      SQL注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自] SQL injection - Wikipedia SQL注入,

C# 使用引數化SQL語句(SQL注入攻擊)

“SQL注入攻擊”問題。我們在程式中存在著大量拼接產生SQL語句的程式碼,這就會導致一個比較大的安全隱患,容易遭受SQL注入攻擊。我們在程式碼中用的SQL語句是: string sqlStr = "select * from [Users] where User

web安全sql注入

所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意的)SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得

JDBC及sql注入攻擊

哪有什麼一夜成名,都是百鍊成鋼 JDBC JDBC(Java DataBase Connectivity,java資料庫連線)又SUN公司開發,是一種用於執行SQL語句的Java API,可以為多種關係資料庫提供統一訪問,它由一組用Java語言編寫的類和介面組成。JDB

【php】PDO資料庫sql注入

安全的方式: $pdo = new PDO('mysql:host=localhost;dbname=phptry','username','passwd'); $pdo->query("SET

JAVA WEB中處理SQL注入|XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

jdbc防止sql注入方法總結

參考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.傳統JDBC,採用PreparedStatement 。預編譯語句集,內建了處理SQL注入的能力 String sql= "selec

jquery過濾特殊字元',sql注入

出自:  直接上程式碼: <script type="text/javascript" language="javascript"> $(document).ready(function() { //返回 $("#btnBack").click(