温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

防止web项目中的SQL注入方法有哪些

发布时间:2021-12-03 15:06:19 来源:亿速云 阅读:98 作者:iii 栏目:开发技术

这篇文章主要介绍“防止web项目中的SQL注入方法有哪些”,在日常操作中,相信很多人在防止web项目中的SQL注入方法有哪些问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”防止web项目中的SQL注入方法有哪些”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

    一、SQL注入简介

    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。

    二、SQL注入攻击的总体思路

    • 1.寻找到SQL注入的位置

    • 2.判断服务器类型和后台数据库类型

    • 3.针对不同的服务器和数据库特点进行SQL注入攻击

    三、SQL注入攻击实例

    比如在一个登录界面,要求输入用户名和密码:

    可以这样输入实现免帐号登录:

    用户名: ‘or 1 = 1 –

    密 码:

    点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

    这是为什么呢? 下面我们分析一下:

    从理论上说,后台认证程序中会有如下的SQL语句:

    String sql = "select * from user_table where username=
    ' "+userName+" ' and password=' "+password+" '";
    
    当输入了上面的用户名和密码,上面的SQL语句变成:
    SELECT * FROM user_table WHERE username=
    ''or 1 = 1 -- and password=''
    
    """
    分析SQL语句:
    条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;
    
    然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
    这还是比较温柔的,如果是执行
    SELECT * FROM user_table WHERE
    username='' ;DROP DATABASE (DB Name) --' and password=''
    其后果可想而知…
    """

    四、如何防御SQL注入

    注意:但凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,

    对于用户输入的内容或传递的参数,我们应该要时刻保持警惕,这是安全领域里的「外部数据不可信任」的原则,纵观Web安全领域的各种攻击方式,

    大多数都是因为开发者违反了这个原则而导致的,所以自然能想到的,就是从变量的检测、过滤、验证下手,确保变量是开发者所预想的。

    1、检查变量数据类型和格式

    如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。

    比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的规则,比如5-20个字符,只能由大小写字母、数字以及一些安全的符号组成,不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许用户提交任意字符串的场景,这就需要采用过滤等其他方案了。

    2、过滤特殊符号

    对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。

    3、绑定变量,使用预编译语句

    MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法

    实际上,绑定变量使用预编译语句是预防SQL注入的最佳方式,使用预编译的SQL语句语义不会发生改变,在SQL语句中,变量用问号?表示,黑客即使本事再大,也无法改变SQL语句的结构

    到此,关于“防止web项目中的SQL注入方法有哪些”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

    向AI问一下细节

    免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

    AI