WEB攻击手段及防御第2篇-SQL注入
2020-07-02 16:28
525 查看
概念< 2000 /strong>
SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行。
简单的SQL注入的例子:
例1:test123456 or 1=1;
加上or 1=1,如果没有防止SQL注入,这样攻击者就能成功登录。
例2:test123456';drop table xxx--
这样会删除一个表,--后面的就是注释
防御手段
1、禁止采用SQL拼接的形式
这也是最重要的一点,要采用参数化的形式。如mybatis参数占位符要使用##,它会给参数默认带上单引号,所有输入输入的字符当作一个参数来处理,而不是命令,不要使用$$,它不会带单引号有SQL注入的风险。
2、过滤或转义特殊字符
特殊字符包括如:单引号、杠等,或者使用正则表达式过滤如drop table、delete..、update..等危害数据库安全的请求,前后端都要采用措施。
3、数据库用户权利最小化
不要使用最大权限的管理员进行连接,为每个应用使用独立的所在库的账号进行连接,这样使权利最小化。
4、发生异常不要使用错误回显,
即显示默认的服务器500错误,把代码及表名信息直白显示在网页上,这样攻击者就能通过恶意操作使网页出现500错误从而看到数据库表名等内部信息。
5、加密存储敏感信息
用户敏感信息如身份证、手机号、邮箱、卡号等一定要加密存储,而且要妥善保密密钥。
关注公众号Java技术栈回复"面试"获取我整理的2020最全面试题及答案。
推荐去我的博客阅读更多:
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
觉得不错,别忘了点赞+转发哦!
相关文章推荐
- 总结几种常见web攻击手段及其防御方式
- WEB攻击手段及防御第1篇-XSS
- 总结几种常见web攻击手段及其防御方式
- 总结几种常见web攻击手段及其防御方式
- Web攻击手段-CSRF攻击及防御策略
- 总结几种常见web攻击手段及其防御方式
- 总结几种常见web攻击手段及其防御方式
- 常用网站攻击手段及防御方法
- 如何保护我的站点免受SQL入攻击——常见网站攻击手段原理与防御
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- 常见十大web攻击手段
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- 【Web安全与防御】简析Sql注入与防御措施
- web攻击方式和防御方法
- DDOS攻击详解——常见网站攻击手段原理与防御
- 常见几种web攻击方式和防御方法
- web常见攻击五--sql注入(sql Injection)
- Web攻击和防御(一) - 安全检测工具(1)