看了网上的很多答案,说什么的都有,希望数据库大佬能解释一下真正的原理,万分感谢!!!
1条回答 默认 最新
斯洛文尼亚旅游 2021-05-15 11:12关注主要是针对非参数化,而且直接拼接sql后执行才会有sql注入问题。
一个简单的示例,读取新闻的,需要id参数,值为数字,拼接sql如下
string id = Request.QueryString["id"]; string sql = "select * from news where id=" + id;正常情况下id输入数字,那么sql就是正常的。但是id参数是客户端提交的,内容不可控,可以人工修改,如id=1;delete from news;
这样如果为判断id的值,直接凭借,那么sql语句就会变为
select * from news where id=1;delete from news;
这样执行sql的话就会将news表内容清空了。
结论就是不要相信客户端提交的数据,即使客户端有用js验证过数据有效性,但是服务器端一定要再次验证过,因为数据是可以直接提交到接口,并不一定走你的js验证。
不过sql注入这种东东随便服务器安装个防护软件(如安全狗)就能拦截了,现在很难注入了
所以对应为数字的参数一定要判断值是否为数字,不是就输出错误提示参数错误什么的。
字符型参数的要替换掉单引号。
解决 无用评论 打赏举报
分享
- 2018-11-08 10:20回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能注入了么? SELECT * FROM employees WHERE salar
- 2022-10-10 14:18回答 2 已采纳 SQL注入之WAF绕过注入_Crazy Anime的博客-CSDN博客_sql注入绕过waf 本文主要讲的是如何绕过WAF的基础知识,写的
- 回答 3 已采纳 例如 输入 1 and true select * from table where id = 1 and true; select * from table where id = '1
- 2022-11-28 16:34例如,使用预编译的SQL语句(如PreparedStatement在Java中)可以有效防止SQL注入攻击,同时提高代码的可读性和可维护性。通过设置参数占位符(如?或$1等),我们可以安全地将参数值插入到SQL语句中,然后在执行时...
- 2017-12-06 03:59回答 2 已采纳 不知道诶,在取得对象之前有没有对对象做过处理?用正则表达式对取得的对象做一下处理才可能没有问题。
- 2022-10-06 21:55回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
- 2022-06-09 12:19回答 1 已采纳 都是128 其余数据库可以参考https://blog.csdn.net/weixin_44231544/article/details/121341519
- 2022-05-25 22:19飞鸡炸弹的博客 本篇主要讲述防止sql注入部分 sql注入是什么 SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,...
- 2018-07-01 19:01回答 1 已采纳 Yes, but... Yes, it does SQL injection prevention when you rely on the built-in ORM functionality
- 2022-03-31 17:24回答 4 已采纳 其实没有实际的标准明确定义多少数据量算大数据,不过阿里开发手册中建议,表数据超过500万条时,建议考虑分表,以防影响查询效率,不过我们公司也有单表超过几千万条的数据,效率确实不高,所以理论上百万级别以
- 2019-05-14 15:21回答 2 已采纳 使用预编译加占位符‘?’才能防止SQL注入,你这样拼接不会防止sql注入, 说个用户登录的场景,我后台的查询语句是 ```java String username = paramName;
- 2020-12-15 02:50此外,考虑到SQL注入问题,使用参数化查询或存储过程可以有效防止这类攻击。参数化查询可以确保输入值不会被解释为SQL代码,而是作为数据处理,从而提高安全性。 总结来说,批量修改数据库表是数据库管理的重要任务...
- 2019-03-12 14:08回答 1 已采纳 注意Java代码中的日期格式和SQL语句中的日期格式保持一致。 使用DATE_FORMAT将日期字段转换成字符串, 如 DATE_FORMAT(日期, '%Y-%m-%d %H:%i:%S
- 2024-07-22 22:02carrot11223的博客 SQL 注入是一种常见的网络攻击手段,攻击者通过在用户输入中插入恶意的 SQL 代码,从而控制或破坏目标数据库。通常,这种漏洞存在于应用程序对用户输入未进行充分过滤和处理的情况下。
- 2022-07-15 15:32氷阳的博客 SQL注入漏洞介绍
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 如何让子窗口鼠标滚动独立,不要传递消息给主窗口
- ¥15 如何能达到用ping0.cc检测成这样?如图
- ¥15 关于#DMA固件#的问题,请各位专家解答!
- ¥15 matlab生成的x1图不趋于稳定,之后的图像是稳定的水平线
- ¥15 请问华为OD岗位的内部职业发展通道都有哪些,以及各个级别晋升的要求
- ¥20 微信小程序 canvas 问题
- ¥15 系统 24h2 专业工作站版,浏览文件夹的图库,视频,图片之类的怎样删除?
- ¥15 怎么把512还原为520格式
- ¥15 MATLAB的动态模态分解出现错误,以CFX非定常模拟结果为快照
- ¥15 求高通平台Softsim调试经验