SQL 注入攻击
2013-09-05 23:36
429 查看
SQL Injection 原理 :
结构化查询语言 (SQL) 是一种用来和数据库交互的文本语言。 SQL Injection 就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言 (SQL) 当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入 的数据没有进行严格的过滤,导致非法数据库查询语句的执行。如下面的用户登陆验证程序:
$sql = "SELECT * FROM user WHERE username='$username' AND password='$password'";
$result = mysql_db_query($dbname, $sql);
如果我们提交如下 url :
http://127.0.0.1/injection/user.php?username=angel' or '1=1
那么就可以成功登陆系统,但是很显然这并不是我们预期的,同样我们也可以利用 sql的注释语句实现 sql 注入,如下面的例子:
http://127.0.0.1/injection/user.php?username=angel'/* http://127.0.0.1/injection/user.php?username=angel'%23
这样就把后面的语句给注释掉了!说说这两种提交的不同之处,我们提交的第一句是利用逻辑运算,第二、三句是根据 mysql 的特性, mysql 支持 /* 和 # 两种注释格式,所以我
们提交的时候是把后面的代码注释掉,值得注意的是由于编码问题,在 IE 地址栏里提交 #会变成空的,所以我们在地址栏提交的时候,应该提交 %23 ,才会变成 # ,就成功注释了, 这个比逻辑运算简单得多了。
开发中可以采取的措施:
1. prepareStatement + Bind-variable
对 Java ,Jsp 开发的应用 , 可以使用 prepareStatement + Bind-variable 来防止sql 注入 。
2.使用应用程序提供的转换函数:
很多应用程序接口都提供了对特殊的字符进行转换的函数,恰当的使用这些函数,可以防止应用程序用户输入使应用程序生成不期望的效果的语句的数值。
MySQL C API :使用 mysql_real_escape_string() API 调用。
MySQL++ :使用 escape 和 quote 修饰符。
Perl DBI :使用 placeholders 或者 quote() 方法。
Ruby DBI :使用 placeholders 或者 quote() 方法。
Java JDBC :使用 PreparedStatement 和 placeholders 。
3.自己定义函数进行校验
如果现有的转换函数仍然不能满足要求,则需要自己编写函数进行输入校验。
结构化查询语言 (SQL) 是一种用来和数据库交互的文本语言。 SQL Injection 就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言 (SQL) 当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入 的数据没有进行严格的过滤,导致非法数据库查询语句的执行。如下面的用户登陆验证程序:
$sql = "SELECT * FROM user WHERE username='$username' AND password='$password'";
$result = mysql_db_query($dbname, $sql);
如果我们提交如下 url :
http://127.0.0.1/injection/user.php?username=angel' or '1=1
那么就可以成功登陆系统,但是很显然这并不是我们预期的,同样我们也可以利用 sql的注释语句实现 sql 注入,如下面的例子:
http://127.0.0.1/injection/user.php?username=angel'/* http://127.0.0.1/injection/user.php?username=angel'%23
这样就把后面的语句给注释掉了!说说这两种提交的不同之处,我们提交的第一句是利用逻辑运算,第二、三句是根据 mysql 的特性, mysql 支持 /* 和 # 两种注释格式,所以我
们提交的时候是把后面的代码注释掉,值得注意的是由于编码问题,在 IE 地址栏里提交 #会变成空的,所以我们在地址栏提交的时候,应该提交 %23 ,才会变成 # ,就成功注释了, 这个比逻辑运算简单得多了。
开发中可以采取的措施:
1. prepareStatement + Bind-variable
对 Java ,Jsp 开发的应用 , 可以使用 prepareStatement + Bind-variable 来防止sql 注入 。
2.使用应用程序提供的转换函数:
很多应用程序接口都提供了对特殊的字符进行转换的函数,恰当的使用这些函数,可以防止应用程序用户输入使应用程序生成不期望的效果的语句的数值。
MySQL C API :使用 mysql_real_escape_string() API 调用。
MySQL++ :使用 escape 和 quote 修饰符。
Perl DBI :使用 placeholders 或者 quote() 方法。
Ruby DBI :使用 placeholders 或者 quote() 方法。
Java JDBC :使用 PreparedStatement 和 placeholders 。
3.自己定义函数进行校验
如果现有的转换函数仍然不能满足要求,则需要自己编写函数进行输入校验。
相关文章推荐
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- SQL注入专题--整理帖 && like 语句拼sql 如何防止注入攻击。
- PHP SQL 注入攻击的技术实现以及预防办法
- sqlparameter参数查询,防注入攻击
- 数据恢复-SQL被注入攻击程序的应对策略(ORA-16703)
- 详解SQL 注入、XSS 攻击、CSRF 攻击
- 实用:防止SQL、XSS等注入攻击的Filter
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 安全性测试:著名的SQL流量注入(SQL注入)攻击法
- 防止 PHP的SQL 注入攻击
- 数据恢复-SQL被注入攻击程序的应对策略(ORA-16703)
- node.js sql 注入攻击防御方法 (sql Injection)
- PHP SQL 注入攻击的技术实现以及预防办法
- PHP+SQL 注入攻击的技术实现以及预防办法
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- 黑马程序员--学习笔记之SQL注入漏洞攻击
- 很好用的 web防止sql 注入 xss 攻击 目录遍历代码
- ASP。NET 中SQL防注入攻击