如何在程序中防止SQL注入
2008-06-20 16:32
337 查看
过滤单引号,双引号,分号,逗号,冒号,连接号和一些敏感的单词。
如果使用户名密码之类的,就把空格通通过滤掉。只允许字符或数字,在对长度加以限制。
使用参数化查询是比较好的,就是用PreparedStatement来做查询。
可以肯定的说,过滤不是办法,而且效率很低 (过滤的目的主要是提供反馈信息,必须前后台都要做) 但是,有很多办法可以绕过“致命的单引号” 能做的事情按重要性大致如下:
1。数据库访问用预定义会话 PreparedStatement 从根本上防止SQL截断
2。后台过滤(为输入的信息提供反馈信息,只要验证数据格式/长度正确就可以了,不必子自作主张的去过滤/转义各种特殊符号)
3。前台过滤(这只是一个幌子,谁也不能指望前台过滤能防止什么,不过可以减少服务器压力)
4。敏感信息提交(比如帐号密码)设置验证码(因为除了注入,还有穷举)
5。数据库安全设置(每种数据库的弱点不太一样)
如果使用户名密码之类的,就把空格通通过滤掉。只允许字符或数字,在对长度加以限制。
使用参数化查询是比较好的,就是用PreparedStatement来做查询。
可以肯定的说,过滤不是办法,而且效率很低 (过滤的目的主要是提供反馈信息,必须前后台都要做) 但是,有很多办法可以绕过“致命的单引号” 能做的事情按重要性大致如下:
1。数据库访问用预定义会话 PreparedStatement 从根本上防止SQL截断
2。后台过滤(为输入的信息提供反馈信息,只要验证数据格式/长度正确就可以了,不必子自作主张的去过滤/转义各种特殊符号)
3。前台过滤(这只是一个幌子,谁也不能指望前台过滤能防止什么,不过可以减少服务器压力)
4。敏感信息提交(比如帐号密码)设置验证码(因为除了注入,还有穷举)
5。数据库安全设置(每种数据库的弱点不太一样)
相关文章推荐
- ASP程序安全-如何防止sql注入
- C#编写程序操作数据库如何防止SQL注入漏洞的发生
- SQL注入漏洞产生的原因 ? 如何防止?
- 如何防止SQL注入
- Android如何防止apk程序被反编译
- pdo如何防止 sql注入
- java持久层框架mybatis如何防止sql注入
- Android如何防止apk程序被反编译
- Android如何防止apk程序被反编译
- 如何防止SQL注入
- Android如何防止apk程序被反编译
- Android如何防止apk程序被反编译
- Net程序如何防止被注入(整站通用)
- ASP.NET程序如何防止被注入(整站通用)
- Android如何防止apk程序被反编译
- Android如何防止apk程序被反编译
- 如何保护Java程序 防止Java反编译
- (转).Net程序如何防止被注入(整站通用)
- 如何有效防止Java程序源码被人偷窥(zhuan)
- [stackoverflow翻译] PHP中如何防止SQL注入?