SQL注入举例
定义sql语句(php):
username' and password= '$password' ";
然后提交如下URL:
127.0.0.1/injection/user.php?username=angel' or '1=1
或:127.0.0.1/injection/user.php?username=angel' /*
127.0.0.1/injection/user.php?username=angel' #(这两种方式可以把后面的语句注释掉)
就可以不需要密码便能查询或登陆,这便是sql注入的一种方式。应对措施
(1)PrepareStatement+Bind-Variable
因为MySQL不存在共享池的概念,所以在MySQL上使用绑定变量(Bind-Variable)最大的好处是为了避免SQL注入,增加安全性,以Java为例:
Connection con=getConnection();
String sqlStmt="select * from user where username = ? and password = ?";
PreparedStatement prepStmt =conn.prepareStatement(sqlStmt);
prepStmt.setString(1,"angel ' or 1=1' ");
prepStmt.setString(2,"test");
System.out.println(prepStmt.toString());
//输出:select * from user where username= 'angel' or 1=1' ' and password ='test';
res=prepStmt.executeQuery();
可以看到采用了绑定变量后输入的非法字符会被正常转义而不会作为SQL的条件被解析,避免了SQL注入的风险。
注意:提供该功能的是JDBC驱动,而非MySQL。
(2)自己定义函数来校验
即可以通过对用户提交或可能改变的数据进行分类,然后用正则表达式来对用户提供的输入数据进行检测和验证,特别是空格符号和与其产生相同作用的分割关键字的符号,如“/**/”,同时也要过滤他们的16进制表示"%XX"。
(3)使用应用程序提供的转换函数
如MySQL C API的:mysql_real_escape_string();
MySQL++的: escape和quote修饰符。
怎么防止SQL注入
©著作权归作者所有,转载或内容合作请联系作者
- 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
- 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
- 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
推荐阅读更多精彩内容
- http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sq...
