Web安全相關(五):SQL註入(SQL Injection)

来源:https://www.cnblogs.com/supersnowyao/archive/2018/01/13/8279888.html

簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。 根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...

簡介

  SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。

  根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的資料庫配置或資料庫平臺的漏洞所致;後者主要是由於程式員對輸入未進行細緻地過濾,從而執行了非法的數據查詢。基於此,SQL註入的產生原因通常表現在以下幾方面:

  1. 不當的類型處理;

  2. 不安全的資料庫配置;

  3. 不合理的查詢集處理;

  4. 不當的錯誤處理;

  5. 轉義字元處理不合適;

  6. 多個提交處理不當。

 

防止SQL註入

  1. 永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和雙"-"進行轉換等。

  2. 永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。(不要拼sql,使用參數化)

  3. 永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。(給程式分配合理的資料庫操作許可權)

  4. 不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。(敏感信息加密)

  5. 應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝。

 

文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5514879.html


您的分享是我們最大的動力!

更多相關文章
  • 一般一個項目開始之前都會有啟動會,需求交底等等,其中會有一個環節,大講特講項目的意義,然後取一個高大上的項目名字,咱這是一個小功能談不上項目,但是名字不能太小氣了。好吧,就叫Trump吧。沒有任何含義,玩嘛! 項目分層結構也要在這裡說一下,這次這個小功能仿照DDD的分層模式,一定記住我說的是仿照。因... ...
  • 簡介 過多發佈的內容相對比較簡單,因此,我只打算把原文中的一些關鍵信息翻譯一下。原文鏈接如下: http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-c ...
  • 簡介 那些通過請求(如查詢字元串和表單數據)指定重定向URL的Web程式可能會被篡改,而把用戶重定向到外部的惡意URL。這種篡改就被稱為開發重定向攻擊。 場景分析 假設有一個正規網站http://nerddinner.com/,還有一個惡意網站或釣魚網站http://nerddiner.com/(註 ...
  • 簡介 CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利 ...
  • 在多線程環境下,使用BlockingCollection以及ConcurrentQueue來消費生產者生產的資源,這是我自己寫的多生產者多消費者的作法,其實也是基於單個task下的阻塞隊列的IsComplete來識別的。 使用阻塞隊列更簡單但是內部的消費者線程比較適合使用單獨的線程不適合使用線程池, ...
一周排行
  • 一、課程介紹 曾經有一位不知名的講師說過這麼一句名言: 一門RPC技術不會,那麼千萬萬門RPC技術將都不會!在今天移動互聯網的時代,作為攻城師的我們,誰不想著只寫一套API就可以讓我們的Web, Android APP, IOS APP, iPad APP, Hybired APP, H5 Web共 ...
  • MVC也好,WebAPI也好,據我所知,有部分人是因為複雜的路由,而不想去學的。曾經見過一位程式猿,在他MVC程式中,一切皆路由,url中是完全拒絕"?"和“&”。對此,我也不好說什麼,搞不好是個人風格。路由雖然重要,但其實也只是實現MVC的一種手段,並非你用的路由越多,你的url完全不使用參數,你 ...
  • 基於Ubuntu安裝redis, 我找的一個很好的網站: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-redis-on-ubuntu-16-04設置redis密碼登錄, 編輯redis.c ...
  • 原文鏈接 一.Has方法: 二.With方法: ...
  • 本文的概念性內容來自深入淺出設計模式一書 項目需求 這是一個糖果機的需求圖. 它有四種狀態, 分別是圖中的四個圓圈: No Quarter: 無硬幣 Has Quater 有硬幣 Gumball Sold 糖果賣出 Out of Gumball 沒有糖果了 這個圖很像一個狀態圖. 每個圓圈就是一個狀 ...
  • 最近有個統計分佈的需求,需要按統計本周,上周,本月,上月,本季度,上季度,本年度,上年度等時間統計分佈趨勢,所以這裡就涉及到計算周,月,季度,年度等的起止時間了,下麵總結一下C#中關於根據當前時間獲取周,月,季度,年度等時間段的起止時間的方法,廢話不多說,直接貼代碼,如果你覺得有用,請多多推薦。 ...
  • 本文是一篇介紹net同步非同步的文章,是為張四火同學原創的。請張四活同學及廣大讀者指出,文章不通順的地方。後續應當還有兩篇文章敬請期待 ...
  • 在WPF里用MediaElement控制項,實現一個迴圈播放單一視頻的程式,同時可以控制視頻的播放、暫停、停止。 一種方式,使用MediaElement.MediaEnded事件,在視頻播放結束後,自動重新播放; 另一種方式,使用WPF定時器,在定時器事件里寫入視頻播放代碼。 後者優點是可以控制迴圈時 ...
  • 最近因為公司業務需要,又有機會擼winform了,這次的需求是因為公司有項目申報的這塊業務,項目申報前期需要關註政府發佈的相關動態信息,政府部門網站過多,人工需要一個一個網站去瀏覽和查閱,有時候還會遺漏掉,因此呢,我們打算用爬蟲+移動端web來做,我呢主要負責爬蟲和web Api。 爬蟲篇 爬蟲主要 ...
  • AspNetCoreApi 跨域處理 如果咱們有處理過MV5 跨域問題這個問題也不大。 (1)為什麼會出現跨域問題: 瀏覽器安全限制了前端腳本跨站點的訪問資源,所以在調用WebApi 介面時不能成功訪問資源,原因“同源策略”的存在: 同源指以下幾點相同 (1) IP地址/功能變數名稱 (2) 埠號 (3) ...