Web安全相關(五):SQL註入(SQL Injection)

来源:https://www.cnblogs.com/supersnowyao/archive/2018/01/13/8279888.html
-Advertisement-
Play Games

簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。 根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...


簡介

  SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。

  根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的資料庫配置或資料庫平臺的漏洞所致;後者主要是由於程式員對輸入未進行細緻地過濾,從而執行了非法的數據查詢。基於此,SQL註入的產生原因通常表現在以下幾方面:

  1. 不當的類型處理;

  2. 不安全的資料庫配置;

  3. 不合理的查詢集處理;

  4. 不當的錯誤處理;

  5. 轉義字元處理不合適;

  6. 多個提交處理不當。

 

防止SQL註入

  1. 永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和雙"-"進行轉換等。

  2. 永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。(不要拼sql,使用參數化)

  3. 永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。(給程式分配合理的資料庫操作許可權)

  4. 不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。(敏感信息加密)

  5. 應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝。

 

文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5514879.html


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • treemap結構是紅黑樹 1.先介紹一下平衡二叉樹 其特點是一棵空樹或它的左右兩個子樹的高度差的絕對值不超過1,並且左右兩個子樹都是一棵平衡二叉樹。也就是說該二叉樹的任何一個子節點,其左右子樹的高度都相近。 2.紅黑樹(Red Black Tree) 是一種自平衡二叉查找樹 (1) 檢索效率O(l ...
  • 輸入工資,獲得購物列表,如果金額足夠,將商品放入購物清單,完成採購,顯示購物清單。 ...
  • name = "my name is kim" print(name.capitalize()) # 首字母大寫 print(name.count("m")) # 計數 print(name.center(50,"-")) # 居中,兩端加橫線 print(name.endswith("m")) #... ...
  • Python的字元串格式化有兩種方式:%格式符方式和format方式 ...
  • python3.5模擬登陸要求: 1、三次登陸認證; 2、輸入正確 >歡迎; 3、輸入錯誤 >密碼或賬戶有誤; 4、如果想繼續 >選擇y或Y。 思路: 1、創建賬戶和密碼; 2、用while迴圈,count計數; 3、輸入正確時,跳出迴圈(break); 4、擋count=3時,要重新計數(coun ...
  • ABPZero並沒有手機簡訊發送功能,現在我們來集成一個,為後面註冊、登錄作鋪墊。 阿裡雲簡訊服務 首先需要在阿裡雲開通簡訊服務,連接地址 開通後,在簽名管理中添加一個簽名 在模板管理中添加一個模板,如下圖所示 最後需要使用阿裡雲提供的.NET發送簡訊類庫,下麵可以直接下載我上傳的類庫,也可以去官方 ...
  • 本篇內容雜而簡單,不需要多租戶、不需要多語言、使用MPA(多頁面)、頁面載入速度提升…… 剛登錄系統會看到如下界面,這不是最終想要的效果,以下就一一來修改。 不需要多租戶 AbpZeroTemplateConsts.cs代碼修改如下 文件路徑:D:\abp version\aspnet-zero-3 ...
  • 1.新建一個web頁。 2.添加引用,引入htmlagilitypack。 3.代碼 HtmlWeb類是一個從網路上獲取一個HTML文檔的類,其提供的功能大多是基於完成此需求出發。 HtmlDocument類對應著一個HTML文檔代碼。它提供了創建文檔,裝載文檔,修改文檔等等一系列功能。 ...
一周排行
    -Advertisement-
    Play Games
  • 1. 說明 /* Performs operations on System.String instances that contain file or directory path information. These operations are performed in a cross-pla ...
  • 視頻地址:【WebApi+Vue3從0到1搭建《許可權管理系統》系列視頻:搭建JWT系統鑒權-嗶哩嗶哩】 https://b23.tv/R6cOcDO qq群:801913255 一、在appsettings.json中設置鑒權屬性 /*jwt鑒權*/ "JwtSetting": { "Issuer" ...
  • 引言 集成測試可在包含應用支持基礎結構(如資料庫、文件系統和網路)的級別上確保應用組件功能正常。 ASP.NET Core 通過將單元測試框架與測試 Web 主機和記憶體中測試伺服器結合使用來支持集成測試。 簡介 集成測試與單元測試相比,能夠在更廣泛的級別上評估應用的組件,確認多個組件一起工作以生成預 ...
  • 在.NET Emit編程中,我們探討了運算操作指令的重要性和應用。這些指令包括各種數學運算、位操作和比較操作,能夠在動態生成的代碼中實現對數據的處理和操作。通過這些指令,開發人員可以靈活地進行算術運算、邏輯運算和比較操作,從而實現各種複雜的演算法和邏輯......本篇之後,將進入第七部分:實戰項目 ...
  • 前言 多表頭表格是一個常見的業務需求,然而WPF中卻沒有預設實現這個功能,得益於WPF強大的控制項模板設計,我們可以通過修改控制項模板的方式自己實現它。 一、需求分析 下圖為一個典型的統計表格,統計1-12月的數據。 此時我們有一個需求,需要將月份按季度劃分,以便能夠直觀地看到季度統計數據,以下為該需求 ...
  • 如何將 ASP.NET Core MVC 項目的視圖分離到另一個項目 在當下這個年代 SPA 已是主流,人們早已忘記了 MVC 以及 Razor 的故事。但是在某些場景下 SSR 還是有意想不到效果。比如某些靜態頁面,比如追求首屏載入速度的時候。最近在項目中回歸傳統效果還是不錯。 有的時候我們希望將 ...
  • System.AggregateException: 發生一個或多個錯誤。 > Microsoft.WebTools.Shared.Exceptions.WebToolsException: 生成失敗。檢查輸出視窗瞭解更多詳細信息。 內部異常堆棧跟蹤的結尾 > (內部異常 #0) Microsoft ...
  • 引言 在上一章節我們實戰了在Asp.Net Core中的項目實戰,這一章節講解一下如何測試Asp.Net Core的中間件。 TestServer 還記得我們在集成測試中提供的TestServer嗎? TestServer 是由 Microsoft.AspNetCore.TestHost 包提供的。 ...
  • 在發現結果為真的WHEN子句時,CASE表達式的真假值判斷會終止,剩餘的WHEN子句會被忽略: CASE WHEN col_1 IN ('a', 'b') THEN '第一' WHEN col_1 IN ('a') THEN '第二' ELSE '其他' END 註意: 統一各分支返回的數據類型. ...
  • 在C#編程世界中,語法的精妙之處往往體現在那些看似微小卻極具影響力的符號與結構之中。其中,“_ =” 這一組合突然出現還真不知道什麼意思。本文將深入剖析“_ =” 的含義、工作原理及其在實際編程中的廣泛應用,揭示其作為C#語法奇兵的重要角色。 一、下劃線 _:神秘的棄元符號 下劃線 _ 在C#中並非 ...