SQL注入攻击如何防止

目录
SQL注入攻击如何防止什么是SQL注入攻击不安全代码编写攻击方式

如何防止sql注入代码层其他方法
最后

SQL注入攻击如何防止

​ SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,由于没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。

什么是SQL注入攻击

​ 下面我们就通过实际生产中的例子来演示什么是SQL注入攻击。

不安全代码编写

​ 当我们不注意sql攻击的时候sql容易些成下面这样:

public List<People> orderList (String peopleid){
String sql = " select id,name,age from people where people_id = " + peopleid;
return jdbcTemplate.query(sql,new BeanPropertyRowMapper(People.class));
}

这个时候我们将前端传入的参数直接拼接到sql语句的后端,此时就容易出现sql注入攻击。

攻击方式

越过判断条件查询所有数据

通过前面的分析,由于是sql拼接,所以我们在攻击的时候只需要在其后面拼接一个诸如:or 1=1的恒等式,即可查询到所有的信息。

查询mysql版本号(version())

使用union拼接sql

查询数据库名(database())

使用union拼接sql

查询mysql当前用户的所有库

也是使用union拼接sql

由此我们可以看出,只要使用拼接sql的方式,对方就有一百种方法来攻击你,找到一些关键数据。

如何防止sql注入
代码层

​ 代码层防止sql注入攻击的最佳方案就是sql预编译

public List<People> orderList (String peopleid){
String sql = " select id,name,age from people where people_id = ?" ;
return jdbcTemplate.query(sql,new BeanPropertyRowMapper(People.class));
}

​ 这样穿过来的参数 4 or 1 = 1 就会被当做是一个people_id,就不会出现SQL注入了。

其他方法
确认每种数据的类型,比如是数字的,数据库则必须使用int类型来存储规定数据长度,能从一定程度上防止sql注入严格限制数据库权限,能最大程度上减少sql注入的危害避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应过滤参数中含有的一些数据库关键词
最后
如果觉得看完有收获,希望能给我点个赞,这将会是我更新的最大动力,感谢各位的支持欢迎各位关注我的公众号【java冢狐】,专注于java和计算机基础知识,保证让你看完有所收获,不信你打我如果看完有不同的意见或者建议,欢迎多多评论一起交流。感谢各位的支持以及厚爱。

原创:https://www.panoramacn.com
源码网提供WordPress源码,帝国CMS源码discuz源码,微信小程序,小说源码,杰奇源码,thinkphp源码,ecshop模板源码,微擎模板源码,dede源码,织梦源码等。

专业搭建小说网站,小说程序,杰奇系列,微信小说系列,app系列小说

SQL注入攻击如何防止

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如果您下载了该资源行为将被视为对《免责声明》全部内容的认可-> 联系客服 投诉资源
www.panoramacn.com资源全部来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:2640602276@qq.com
未经允许不得转载:书荒源码源码网每日更新网站源码模板! » SQL注入攻击如何防止
关注我们小说电影免费看
关注我们,获取更多的全网素材资源,有趣有料!
120000+人已关注
分享到:
赞(0) 打赏

评论抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

您的打赏就是我分享的动力!

支付宝扫一扫打赏

微信扫一扫打赏