当前位置: 首页 > news >正文

什么是SQL注入攻击?如何防止呢?

news 文章来源:https://blog.csdn.net/qq_38196449/article/details/143111493 2025/5/14 20:26:31

目录

一、什么是SQL注入? 

二、如何防止?

2.1 使用预编译语句

2.2 使用 ORM 框架

2.3 用户输入校验

一、什么是SQL注入? 

SQL 注入是一种常见的网络安全漏洞,攻击者通过在应用程序的用户输入中插入恶意的 SQL 代码,试图欺骗数据库执行非预期的查询。

SQL 注入导致对数据库的未授权访问、数据泄露、数据损坏、数据库坏,甚至完整的数据库被攻陷。

攻击者通常常通过在用户输入中注入 SQL 代码,改变应用程序对数据库的查询语句,以实现他们的恶意目的。

假设有一个简单的登录系统,根据用户提供的用户名和密码进行身份验证。应用程序可能会使用类似以下的 SQL 查询来检查用户是否存在:

String query = "SELECT * FROM users WHERE username='" + userInputUsername + "'"AND password='" + userInputPassword + "'";

在这个查询中,userInputUsernameuserInputPassword 是从用户输入中获取的值。如果应用程序不正确处理这些输入,它可能容易受到 SQL 注入攻击。

考虑以下情况,攻击者在用户名和密码字段中输入了恶意的字符串:

Username: ' OR '1'='1' --
Password: ' OR '1'='1' --

将这些值代入原始的 SQL 查询,得到的查询语句变成了:

SELECT * FROM users WHERE username='' OR '1'='1' --' AND password='' OR '1'='1' --

在注入的 SQL 中,使用 -- 来注释掉他后面的代码,那么我们原来的查询,就会返回用户表中的所有记录,因为 '1'='1' 是一个始终为 true 的条件。

如此,攻击者可以通过注入这样的恶意字符串绕过身份验证,获得对应用程序中所有用户的访问权限,甚至执行其他恶意操作。

如果还只是查询的话影响还不大,万一是一个 delete 操作被注入了,就可能会导致数据库被攻击而导致删除。如下被注入后的 SQL:

DELETE FROM users WHERE username='' OR 1=1; --'

二、如何防止?

2.1 使用预编译语句

使用预编译的语句或参数化的语句,而不是通过字符串拼接构建 SQL 查询。这样可以防止攻击者通过在用户输入中插入恶意代码来改变 SQL 查询的结构。

如使用 JDBC 时,使用 PreparedStatement 而不是 Statement:

// 错误的例子(容易受到 SQL 注入攻击)
String userInput = "admin'; DROP TABLE users;--";
String query = "SELECT * FROM users WHERE username='" + userInput + "'";// 正确的例子(使用预编译语句)
String userInput = "admin'; DROP TABLE users;--";
String query = "SELECT * FROM users WHERE username=?";
PreparedStatement preparedStatement = connection.prepareStatement(query);
preparedStatement.setString(1, userInput);

2.2 使用 ORM 框架

除了 JDBC 以外,基本都提倡使用 Hibernate 或 MyBatis 这种 ORM 框架,他们都可以自动处理 SQL 查询,减少手动拼接 SQL 的机会。

在 MyBatis 中优先使用 #{} 语法而非 ${} 语法。在 MyBatis 中,#{} 语法会进行预编译,而 ${} 语法是直接将参数的值拼接到 SQL 中,容易受到 SQL 注入攻击。因此,尽可能的使用 #{} 语法。

2.3 用户输入校验

永远不要相信用户的输入,我们需要对用户输入进行验证和过滤,确保只有预期的数据被传递给数据库。使用正则表达式或其他合适的方法来检查输入的合法性。

// 例子:使用正则表达式验证输入是否为合法的用户名
String userInput = request.getParameter("username");if (userInput.matches("^[a-zA-Z0-9]+$")) {// 输入合法,继续处理
} else {// 输入非法,拒绝处理
}

相关文章:

什么是SQL注入攻击?如何防止呢?

目录 一、什么是SQL注入? 二、如何防止? 2.1 使用预编译语句 2.2 使用 ORM 框架 2.3 用户输入校验 一、什么是SQL注入? SQL 注入是一种常见的网络安全漏洞,攻击者通过在应用程序的用户输入中插入恶意的 SQL 代码&#xff…...

编程日记 2024/10/21 19:25:44

consumer 角度讲一下i2c外设

往期内容 I2C子系统专栏: I2C(IIC)协议讲解-CSDN博客SMBus 协议详解-CSDN博客I2C相关结构体讲解:i2c_adapter、i2c_algorithm、i2c_msg-CSDN博客内核提供的通用I2C设备驱动I2c-dev.c分析:注册篇内核提供的通用I2C设备驱动I2C-dev.…...

编程日记 2024/10/21 19:24:41

面试经典150题刷题记录

数组部分 1. 合并两个有序的子数组 —— 倒序双指针避免覆盖 88. 合并两个有序数组 给你两个按 非递减顺序 排列的整数数组 nums1 和 nums2,另有两个整数 m 和 n ,分别表示 nums1 和 nums2 中的元素数目。 请你 合并 nums2 到 nums1 中,使…...

编程日记 2024/10/21 19:23:38

【HarmonyOS NEXT】实现保存base64图片到图库

上篇文章介绍了HarmonyOS NEXT如何保存base64文件到download目录下,本次介绍如何保存base64图片到图库,网络图片保存方式大同小异,先下载图片,然后再保存 phAccessHelper.showAssetsCreationDialog参考官方文档’ ohos.file.pho…...

编程日记 2024/10/21 19:22:37

开题答辩最怕被问什么?教你用ChatGPT轻松准备,稳拿高分!

AIPaperGPT,论文写作神器~ https://www.aipapergpt.com/ 开题答辩是学位论文写作过程中的重要环节,能帮助导师评估你的研究计划是否可行,并对后续写作起到指导作用。很多同学在面对导师提问时会感到紧张,因此提前准备好常见问题的…...

编程日记 2024/10/21 19:21:35

Unity3D功耗和发热分析与优化详解

前言 Unity3D作为广泛使用的游戏开发引擎,在游戏开发过程中,功耗和发热问题一直是开发者需要重点关注的问题。功耗和发热不仅影响用户体验,还可能对设备的硬件寿命造成一定影响。本文将从技术角度详细分析Unity3D游戏在移动设备上的功耗和发…...

编程日记 2024/10/21 19:20:26

深度学习中的掩码介绍

在深度学习中,**掩码(Mask)**通常用于屏蔽掉某些特定部分的数据,以确保模型在训练或推理时不处理无效或无关的输入。掩码的使用场景主要包括处理变长序列、生成模型中的自回归任务、处理填充数据等。掩码可以是二值矩阵(1 表示有效数据,0 表示屏蔽数据),在注意力机制中…...

编程日记 2024/10/21 19:15:18

rust高级进阶总结

文章目录 前言1. Rust生命周期进阶一、不太聪明的生命周期检查(一)例子1(二)例子2 二、无界生命周期三、生命周期约束(HRTB)(一)语法及含义(二)综合例子 四、…...

编程日记 2024/10/21 19:14:17

整理—计算机网络

目录 网络OSI模型和TCP/IP模型 应用层有哪些协议 HTTP报文有哪些部分 HTTP常用的状态码 Http 502和 504 的区别 HTTP层请求的类型有哪些? GET和POST的使用场景,有哪些区别? HTTP的长连接 HTTP默认的端口是什么? HTTP1.1怎…...

编程日记 2024/10/21 19:12:14

分布式数据库环境(HBase分布式数据库)的搭建与配置

分布式数据库环境(HBase分布式数据库)的搭建与配置 1. VMWare安装CentOS7.9.20091.1 下载 CentOS7.9.2009 映像文件1.2启动 VMware WorkstationPro,点击“创建新的虚拟机”1.3在新建虚拟机向导界面选择“典型(推荐)”1…...

编程日记 2024/10/21 19:11:12

100个JavaWeb(JDBC, Servlet, JSP)毕业设计选题

100个JavaWeb(JDBC, Servlet, JSP)毕业设计选题 教育行业 学生信息管理系统在线考试系统课程管理与选课系统教师评价管理系统图书馆管理系统学生成绩查询系统校园论坛作业提交与批改系统学生考勤管理系统教学资源共享平台 企业管理 员工管理系统考勤打卡系统办公用品申请管…...

编程日记 2024/10/21 19:08:09

05 go语言(golang) - 常量和条件语句

常量 在Go语言中,常量是使用 const 关键字定义的,并且一旦被赋值后,它们的值在程序运行期间不能改变。常量可以是字符、字符串、布尔或数值类型。 基本特性 不可修改:一旦一个常量被定义,它的值就不能被更新。编译时…...

编程日记 2024/10/21 19:07:08

【设计模式】深入理解Python中的适配器模式(Adapter Pattern)

深入理解Python中的适配器模式(Adapter Pattern) 在软件开发中,常常会遇到需要让不兼容的类或接口协同工作的问题。适配器模式(Adapter Pattern)是一种结构型设计模式,通过提供一个包装器对象,…...

编程日记 2024/10/21 19:05:06

RuoYi-Vue若依框架-后端设置不登陆访问(白名单)

找到SecurityConfig类 确认自己的需求 /*** anyRequest | 匹配所有请求路径* access | SpringEl表达式结果为true时可以访问* anonymous | 匿名可以访问* denyAll | 用户不能访问* fullyAuthenticated | 用户完全认证可…...

编程日记 2024/10/21 19:02:02

C语言初阶小练习2(三子棋小游戏的实现代码)

这是C语言小游戏三子棋的代码实现 test.c文件是用来测试的部分 game.h文件是用来声明我们说写出的函数 game.c文件是用来编写我们的功能实现函数部分 1.test.c #define _CRT_SECURE_NO_WARNINGS 1 #include"game.h" void menu() {printf("***************…...

编程日记 2024/10/21 18:58:59

金融行业合同管理如何利用AI技术进行风险预警?

2024年以来,金融行业的发展主线被锚定,强调了防风险的基调,尤其是系统性风险的防范。金融工作的重点在于实现六个强大:强大的货币、强大的中央银行、强大的金融机构、强大的国际金融中心、强大的金融监管、强大的金融人才队伍。这…...

编程日记 2024/10/21 18:55:56

世界数字农业盛宴与技术探索,25年3月聚焦世界灌溉科技大会

由中国农业节水和农村供水技术协会、中国农垦节水农业产业技术联盟、北京物联网智能技术应用协会、振威国际会展集团主办的“世界灌溉科技大会”、“第11届北京国际数字农业与灌溉技术博览会”,定于2025年3月31日至4月2日在北京国家会议中心举办。 作为世界三大灌溉…...

编程日记 2024/10/21 18:53:53

二百六十九、Kettle——ClickHouse清洗ODS层原始数据增量导入到DWD层表中

一、目的 清洗ClickHouse的ODS层原始数据,增量导入到DWD层表中 二、实施步骤 2.1 newtime select( select create_time from hurys_jw.dwd_statistics order by create_time desc limit 1) as create_time 2.2 替换NULL值 2.3 clickhouse输入 2.4 字段选择 2.5 …...

编程日记 2024/10/21 18:52:52

Maya---骨骼绑定

调节骨骼大小 回车键确认骨骼 FK子集跟父集走 IK子集不跟父集走 前视图中按shift键添加骨骼 清零、删除历史记录,创建新的物体...

编程日记 2024/10/21 18:51:50

携手并进,智驭教育!和鲸科技与智谱 AI 签署“101 数智领航计划”战略合作协议

近日,上海和今信息科技有限公司(以下简称“和鲸科技”)与北京智谱华章科技有限公司(以下简称“智谱 AI”)签署“101 数智领航计划”战略合作协议。双方将携手营造智能化学科教育与科研环境,提供多种大模型工…...

编程日记 2024/10/21 18:49:48

牛客周赛63

https://ac.nowcoder.com/acm/contest/91592 好数 简单的判断两位数&#xff0c;且十位等于个位 #include <bits/stdc.h> #define IOS ios::sync_with_stdio(0);cin.tie(0);cout.tie(0); #define int long long using namespace std; using ll long long; using pii …...

编程日记 2024/10/21 18:48:47

git restore恢复删除文件

新版本 在 Git 2.23 版本之后&#xff0c;Git 引入了一个新的命令 git restore&#xff0c;用于简化文件恢复操作。可以用 git restore 来恢复误删除的文件。下面是详细的使用方法&#xff1a; 1. 恢复工作区中删除的文件&#xff08;未提交&#xff09; 如果文件已被删除&a…...

编程日记 2024/10/21 18:47:46

MacOS13虚拟机VMware Workstation Pro 16安装

资源 安装unlocker 安装虚拟机 低版本的还没有MacOS13选项&#xff0c;这也是我安装低版本虚拟机踩过的坑 找个教程安装就可以了 省略…自己去找找教程… 过程中我使用桥接是不行的&#xff0c;没有网络&#xff0c;后面重新下一步一步的选择默认的网络重装后就好了&am…...

编程日记 2024/10/21 18:46:45

docker 数据管理,数据持久化详解 一

docker镜像是分层设计的&#xff0c;镜像出只读&#xff0c;通过镜像启动的容器添加一层可读写的文件系统&#xff0c;用户写入的数据表都保存在这层中。 容器的数据分层目录 LowerDir&#xff1a;image 镜像层&#xff0c;即镜像本身&#xff0c;制度 UpperDir&#xff1a;容…...

编程日记 2024/10/21 18:44:43

【ios】使用TestFlight将app分发给测试人员(超详细)

我的环境&#xff1a; macos系统是Ventura 13.0 xcode是14.2&#xff08;后面发现至少需要15版本的xcode才能上传app&#xff09; 证书生成 可以通过xcode生成Distribution类型的证书&#xff0c;如果你已经有的话那就忽略&#xff0c;这个证书也是备案时所需的。 我是已…...

编程日记 2024/10/21 18:42:41

证件照小程序源码,前后端稳定运行

演示&#xff1a;证寸照制作 运行环境: Linux Nginx PHP >5.6 MySQL>5.6 安装步骤: 1.下载源码上传至你的服务器宝塔面板 2.直接添加站点选择源码目录&#xff0c;新建数据库 3.设置代码执行目录为/web 4.在浏览器中输入你的域名&#xff0c;会提示安装&#xff0c;填写…...

编程日记 2024/10/21 18:41:40

java白嫖同事的从身份证里面提取省市区地址详细信息的工具类代码

/*** author sunpeiyang* date 2024/10/21 16:35*/ Slf4j public class MiTaAddressExtractor {/*** 获取详细地址** param fullAddress 身份证完整地址*/public static String getDetailedAddress(String fullAddress) {String[] addressArrays spliceDetailedAddress(fullAd…...

编程日记 2024/10/21 18:40:40

计算机网络基本架构示例2

一、企业内部网络架构 在一个中型企业中&#xff0c;通常会有以下的网络架构&#xff1a; - 核心层&#xff1a;由高性能的核心交换机组成&#xff0c;负责快速转发大量数据。例如采用具有高带宽和冗余功能的三层交换机&#xff0c;确保整个网络的稳定运行。它连接着各个部门的…...

编程日记 2024/10/21 18:38:38

无人机之室内定位技术篇

无人机的室内定位技术是实现无人机在室内环境中精准导航和定位的关键技术。由于室内环境复杂&#xff0c;卫星导航系统&#xff08;如GPS&#xff09;无法提供有效的信号&#xff0c;因此需要依赖其他室内定位技术。 一、主要技术类型 基于视觉的定位技术 原理&#xff1a;利…...

编程日记 2024/10/21 18:37:36

在ubuntu20.04中输入不存在shell命令时,报错ModuleNotFoundError的解决方案

这个问题出现过好几次&#xff0c;每次都比较困扰&#xff0c;以下的解决方案比较适合&#xff1a; 当我输入ubuntu无法识别的命令的时候&#xff0c;正常来说应该提示类似于 command not found 之类的字眼&#xff0c;但是系统确报了如下错误&#xff1a; Traceback (most r…...

编程日记 2024/10/21 18:36:36