防范SQL注入式攻击

简介:
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击
动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如:
如果你的查询语句是select * from admin where username='\"&user&\"' and password='\"&pwd&\"'\"

那么,如果我的用户名是:1' or '1'='1
那么,你的查询语句将会变成:
select * from admin where username='1 or '1'='1' and password='\"&pwd&\"'\"
这样你的查询语句就通过了,从而就可以进入你的管理界面。

所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。

需要过滤的特殊字符及字符串有:
  
net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
\"
insert
delete from
drop table
update
truncate
from
%


下面是我写的两种关于解决注入式攻击的防范代码,供大家学习参考!
js版的防范SQL注入式攻击代码~:

<script language=\"j avascript\">
<!--
var url = location.search;
var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\"|:|net%20user|\'|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
 alert(\"地址中含有非法字符~\");
 location.href=\"error.asp\";
}
//-->
<script>



asp版的防范SQL注入式攻击代码~:
<%
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables(\"HTTPS\")) = \"off\" Then
strTemp = \"http://\"
Else
strTemp = \"https://\"
End If

strTemp = strTemp & Request.ServerVariables(\"SERVER_NAME\")
If Request.ServerVariables(\"SERVER_PORT\") <> 80 Then strTemp = strTemp & \":\" & Request.ServerVariables(\"SERVER_PORT\")

strTemp = strTemp & Request.ServerVariables(\"URL\")

If Trim(Request.QueryString) <> \"\" Then strTemp = strTemp & \"?\" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,\"select%20\") or Instr(strTemp,\"insert%20\") or Instr(strTemp,\"delete%20from\") or Instr(strTemp,\"count(\") or Instr(strTemp,\"drop%20table\") or Instr(strTemp,\"update%20\") or Instr(strTemp,\"truncate%20\") or Instr(strTemp,\"asc(\") or Instr(strTemp,\"mid(\") or Instr(strTemp,\"char(\") or Instr(strTemp,\"xp_cmdshell\") or Instr(strTemp,\"exec%20master\") or Instr(strTemp,\"net%20localgroup%20administrators\")  or Instr(strTemp,\":\") or Instr(strTemp,\"net%20user\") or Instr(strTemp,\"'\") or Instr(strTemp,\"%20or%20\") then
Response.Write \"<script language='j avascript'>\"
Response.Write \"alert('非法地址!!');\"
Response.Write \"location.href='error.asp';\"
Response.Write \"<script>\"
End If
%>





本文转自 苏繁 51CTO博客,原文链接:http://blog.51cto.com/goxia/223990,如需转载请自行联系原作者
目录
相关文章
|
6月前
|
SQL 存储 数据库
Python 的安全性和测试:什么是 SQL 注入攻击?如何防范 SQL 注入?
Python 的安全性和测试:什么是 SQL 注入攻击?如何防范 SQL 注入?
93 1
|
6月前
|
SQL 安全 网络安全
确保你的数据库安全:如何防止SQL注入攻击
确保你的数据库安全:如何防止SQL注入攻击
|
2月前
|
SQL 监控 小程序
在微信小程序中使用 Vant 时如何防止 SQL 注入攻击?
在微信小程序中使用 Vant 时如何防止 SQL 注入攻击?
135 58
|
11天前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
21 0
|
1月前
|
SQL 安全 数据库
Python防止SQL注入攻击的方法
Python防止SQL注入攻击的方法
48 0
|
6月前
|
SQL 存储 Java
如何避免SQL注入攻击?
如何避免SQL注入攻击?
|
4月前
|
SQL 安全 数据库
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
【7月更文挑战第26天】在 Python Web 开发中, 安全性至关重要。本文聚焦 SQL 注入、XSS 和 CSRF 这三大安全威胁,提供实战防御策略。SQL 注入可通过参数化查询和 ORM 框架来防范;XSS 则需 HTML 转义用户输入与实施 CSP;CSRF 防御依赖 CSRF 令牌和双重提交 Cookie。掌握这些技巧,能有效加固 Web 应用的安全防线。安全是持续的过程,需贯穿开发始终。
89 1
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
|
3月前
|
Java 开发者 前端开发
Struts 2:如何在大型项目中力挽狂澜,成就企业级应用开发的巅峰之作!
【8月更文挑战第31天】在本案例研究中,我们探讨了Struts 2框架在国际贸易管理系统(ITMS)中的应用,展示了其在大型项目中的优势与实践经验。Struts 2凭借其强大的表单处理、灵活的Action配置、拦截器机制及国际化支持,成为构建可扩展、高性能Web应用的理想选择。文章详细介绍了RESTful URL设计、Ajax集成、文件上传与下载等功能实现,并分享了性能优化、安全措施及遇到的问题与解决方案,为开发者提供了宝贵的参考。通过持续集成与新技术的应用,我们不断优化系统,提升开发效率与竞争力。
38 0
|
3月前
|
SQL 安全 Java
SQL注入攻防:保护你的数据库免受黑客攻击
【8月更文挑战第31天】面对日益复杂的网络攻击,数据库安全至关重要。SQL注入作为黑客常用手法,通过植入恶意代码非法访问数据库,严重威胁信息安全。本文详解SQL注入原理及其防御策略,涵盖不当输入处理导致的漏洞利用,以及通过预编译查询和权限限制等手段加强防护。使用如Java的PreparedStatement可有效避免SQL注入,保障数据安全。共同构建安全网络,抵御SQL注入风险。
84 0
|
3月前
|
SQL 监控 安全
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?