看了网上的很多答案,说什么的都有,希望数据库大佬能解释一下真正的原理,万分感谢!!!
1条回答 默认 最新
Go 旅城通票 2021-05-15 11:12关注主要是针对非参数化,而且直接拼接sql后执行才会有sql注入问题。
一个简单的示例,读取新闻的,需要id参数,值为数字,拼接sql如下
string id = Request.QueryString["id"]; string sql = "select * from news where id=" + id;正常情况下id输入数字,那么sql就是正常的。但是id参数是客户端提交的,内容不可控,可以人工修改,如id=1;delete from news;
这样如果为判断id的值,直接凭借,那么sql语句就会变为
select * from news where id=1;delete from news;
这样执行sql的话就会将news表内容清空了。
结论就是不要相信客户端提交的数据,即使客户端有用js验证过数据有效性,但是服务器端一定要再次验证过,因为数据是可以直接提交到接口,并不一定走你的js验证。
不过sql注入这种东东随便服务器安装个防护软件(如安全狗)就能拦截了,现在很难注入了
所以对应为数字的参数一定要判断值是否为数字,不是就输出错误提示参数错误什么的。
字符型参数的要替换掉单引号。
解决 无用评论 打赏举报
分享
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2017-12-06 03:59回答 2 已采纳 不知道诶,在取得对象之前有没有对对象做过处理?用正则表达式对取得的对象做一下处理才可能没有问题。
- 2022-10-06 21:55回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
- 2022-05-25 22:19飞鸡炸弹的博客 本篇主要讲述防止sql注入部分 sql注入是什么 SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,...
- 2022-06-09 12:19回答 1 已采纳 都是128 其余数据库可以参考https://blog.csdn.net/weixin_44231544/article/details/121341519
- 2018-07-01 19:01回答 1 已采纳 Yes, but... Yes, it does SQL injection prevention when you rely on the built-in ORM functionality
- 2022-03-31 17:24回答 5 已采纳 其实没有实际的标准明确定义多少数据量算大数据,不过阿里开发手册中建议,表数据超过500万条时,建议考虑分表,以防影响查询效率,不过我们公司也有单表超过几千万条的数据,效率确实不高,所以理论上百万级别以
- 2022-07-15 15:32氷阳的博客 SQL注入漏洞介绍
- 2020-08-27 09:20回答 2 已采纳 数据库表使用 nvarchar nchar,而不是 varchar char 设置默认的区域规则为中文 https://www.jb51.net/article/182489.htm ALTER
- 2019-05-14 15:21回答 2 已采纳 使用预编译加占位符‘?’才能防止SQL注入,你这样拼接不会防止sql注入, 说个用户登录的场景,我后台的查询语句是 ```java String username = paramName;
- 2019-03-12 14:08回答 1 已采纳 注意Java代码中的日期格式和SQL语句中的日期格式保持一致。 使用DATE_FORMAT将日期字段转换成字符串, 如 DATE_FORMAT(日期, '%Y-%m-%d %H:%i:%S
- 2022-09-20 23:40yb0os1的博客 sql注入
- 2018-10-25 02:32回答 2 已采纳 ``` select (case warning when 'A' then '阿洛西林' when 'B' then '环酯红霉素' end) * from in_e
- 2022-06-24 15:21是木木啊.的博客 报错注入
- 2022-06-23 15:51真珠柚子的博客 最详细的sql注入之报错注入,非常适合小白!!
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 关于#单片机#的问题:以ATMEGA128或相近型号单片机为控制器设计直流电机调速的闭环控制系统(相关搜索:设计报告|软件设计|流程图)
- ¥15 打开软件提示错误:failed to get wglChoosePixelFormatARB
- ¥30 电脑误删了手机的照片怎么恢复?
- ¥15 (标签-python|关键词-char)
- ¥15 python+selenium,在新增时弹出了一个输入框
- ¥15 苹果验机结果的api接口哪里有??单次调用1毛钱及以下。
- ¥20 学生成绩管理系统设计
- ¥15 来一个cc穿盾脚本开发者
- ¥15 CST2023安装报错
- ¥15 使用diffusionbert生成文字 结果是PAD和UNK怎么办