Web安全相關(五):SQL註入(SQL Injection)

来源:https://www.cnblogs.com/supersnowyao/archive/2018/01/13/8279888.html

簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。 根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...

簡介

  SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。

  根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的資料庫配置或資料庫平臺的漏洞所致;後者主要是由於程式員對輸入未進行細緻地過濾,從而執行了非法的數據查詢。基於此,SQL註入的產生原因通常表現在以下幾方面:

  1. 不當的類型處理;

  2. 不安全的資料庫配置;

  3. 不合理的查詢集處理;

  4. 不當的錯誤處理;

  5. 轉義字元處理不合適;

  6. 多個提交處理不當。

 

防止SQL註入

  1. 永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和雙"-"進行轉換等。

  2. 永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。(不要拼sql,使用參數化)

  3. 永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。(給程式分配合理的資料庫操作許可權)

  4. 不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。(敏感信息加密)

  5. 應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝。

 

文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5514879.html


您的分享是我們最大的動力!

更多相關文章
  • 一般一個項目開始之前都會有啟動會,需求交底等等,其中會有一個環節,大講特講項目的意義,然後取一個高大上的項目名字,咱這是一個小功能談不上項目,但是名字不能太小氣了。好吧,就叫Trump吧。沒有任何含義,玩嘛! 項目分層結構也要在這裡說一下,這次這個小功能仿照DDD的分層模式,一定記住我說的是仿照。因... ...
  • 簡介 過多發佈的內容相對比較簡單,因此,我只打算把原文中的一些關鍵信息翻譯一下。原文鏈接如下: http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-c ...
  • 簡介 那些通過請求(如查詢字元串和表單數據)指定重定向URL的Web程式可能會被篡改,而把用戶重定向到外部的惡意URL。這種篡改就被稱為開發重定向攻擊。 場景分析 假設有一個正規網站http://nerddinner.com/,還有一個惡意網站或釣魚網站http://nerddiner.com/(註 ...
  • 簡介 CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利 ...
  • 在多線程環境下,使用BlockingCollection以及ConcurrentQueue來消費生產者生產的資源,這是我自己寫的多生產者多消費者的作法,其實也是基於單個task下的阻塞隊列的IsComplete來識別的。 使用阻塞隊列更簡單但是內部的消費者線程比較適合使用單獨的線程不適合使用線程池, ...
一周排行
  • 在 XAML 應用的開發過程中,使用 MVVM 框架能夠極大地提高軟體的可測試性、可維護性。MVVM 的核心思想是關註點分離,使得業務邏輯從 View 中分離出來到 ViewModel 以及 Model 中,從邏輯上來講,這也是業務邏輯應該處的位置。 具體來說,藉助於數據綁定 (Data Bindi ...
  • 在使用Entity Framework時,若有多個排序,需要OrderBy (OrderByDescending)再ThenBy (ThenByDescending) 假設需要根據Name升序排序,再根據Id降序排序,則: 藉助System.Linq.Dynamic的方式 首先需要在項目中引用Sys ...
  • 【01】淺談Google Chrome瀏覽器(理論篇) 【02】淺談Google Chrome瀏覽器(操作篇)(上) 【03】淺談Google Chrome瀏覽器(操作篇)(下) 【04】淺談ASP.NET框架 【05】淺談ASP.NET MVC運行過程 【06】淺談ASP.NET MVC 控制器 ...
  • package com.swift; public class Bank_Customer_Test { public static void main(String[] args) { /* * 兩個客戶往一個銀行存錢,每人存三十次一次存一百。 模擬銀行存錢功能,時時銀行現金數。 */ Custo... ...
  • 在當前的Java記憶體模型下,線程可以把變數保存在本地記憶體(比如機器的寄存器)中,而不是直接在主存中進行讀寫。這就可能造成一個線程在主存中修改了一個變數的值,而另外一個線程還繼續使用它在寄存器中的變數值的拷貝,造成數據的不一致。 在當前的Java記憶體模型下,線程可以把變數保存在本地記憶體(比如機器的寄存 ...
  • 題目描述 HXY得到了一些卡片,這些卡片上標有數字0或5。現在她可以選擇其中一些卡片排成一列,使得排出的一列數字組成的數最大,且滿足被90整除這個條件。同時這個數不能含有前導0,即0不能作為這串數的首位。如果不能排出這樣的數,輸出“-1”。 輸入輸出格式 輸入格式: 第一行,卡片的個數n。 第二行, ...
  • Tomcat 是什麼 Tomcat 是由 Apache 開發的一個 Servlet 容器,實現了對 Servlet 和 JSP 的支持,並提供了作為Web伺服器的一些特有功能,如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。 由於 Tomcat 本身也內含了一個 HTTP 伺服器,它也可 ...
  • 題目描述 某人寫了n封信和n個信封,如果所有的信都裝錯了信封。求所有信都裝錯信封共有多少種不同情況。 輸入輸出格式 輸入格式: 一個信封數n(n<=20) 輸出格式: 一個整數,代表有多少種情況。 輸入輸出樣例 輸入樣例#1: 複製 2 輸出樣例#1: 複製 1 輸入樣例#1: 複製 2 輸出樣例# ...
  • 上面只是做到讀取並寫入另一個文件,並沒有進行排序 下麵是排序的方法 ...
  • 百度UMeditor富文本編輯器java使用 1.介紹 UMeditor 是一款輕量級的富文本編輯器,比UEditor要小得多,是為滿足廣大門戶網站對於簡單發帖框,或者回覆框需求所定製的線上富文本編輯器 2.下載 官網地址:http://ueditor.baidu.com/website/umedi ...