位置: 编程技术 - 正文

MySQL 及 SQL 注入与防范方法(mysql数据库注入)

编辑:rootadmin

推荐整理分享MySQL 及 SQL 注入与防范方法(mysql数据库注入),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:mysql注入方式,mysql注入5.0以上以下有什么区别,mysql sql注入执行命令,mysqli sql注入,mysql的sql注入,mysql的注入,mysql的注入,mysqli sql注入,内容如对您有帮助,希望把文章链接给更多的朋友!

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。

1.以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 个字符之间:

让我们看下在没有过滤特殊字符时,出现的SQL情况:

// 设定$name 中插入了我们不需要的SQL语句$name = "Qadir'; DELETE FROM users;";mysql_query("SELECT * FROM users WHERE name='{$name}'");

以上的注入语句中,我们没有对 $name 的变量进行过滤,$name 中插入了我们不需要的SQL语句,将删除 users 表中的所有数据。

2.在PHP中的 mysql_query() 是不允许执行多个SQL语句的,但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的,所以我们对这些用户的数据需要进行严格的验证。

防止SQL注入,我们需要注意以下几个要点:

1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装 6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。

MySQL 及 SQL 注入与防范方法(mysql数据库注入)

3.防止SQL注入

在脚本语言,如Perl和PHP你可以对用户输入的数据进行转义从而来防止SQL注入。

PHP的MySQL扩展提供了mysql_real_escape_string()函数来转义特殊的输入字符。

4.Like语句中的注入

like查询时,如果用户输入的值有"_"和"%",则会出现这种情况:用户本来只是想查询"abcd_",查询结果中却有"abcd_"、"abcde"、"abcdf"等等;用户要查询"%"(注:百分之三十)时也会出现问题。

在PHP脚本中我们可以使用addcslashes()函数来处理以上情况,如下实例:

addcslashes()函数在指定的字符前添加反斜杠。

语法格式:

addcslashes(string,characters)

参数 描述string 必需。规定要检查的字符串。characters 可选。规定受 addcslashes() 影响的字符或字符范围。

SQL Server中参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的快速解决方法 parametersniff问题是重用其他参数生成的执行计划,导致当前参数采用该执行计划非最优化的现象。想必熟悉数据的同学都应该知道,产生parametersniff最典

SQL Server 正式版安装配置过程图文详解 本文针对SQL正式版安装过程进行梳理总结,帮助大家顺利安装SQL,具体内容如下1.点击全新安装2.接着就是下一步,下一步...3.选择你要安装的功能[

SQL Server CTP2.2安装配置方法图文教程 SQLServerCTP2.2安装配置教程下载一个iso文件,解压出来(大约2.8G左右),在该路径下双击Setup.exe即可开始安装。安装之前请先安装.NET3.5SP1,在服务器

标签: mysql数据库注入

本文链接地址:https://www.jiuchutong.com/biancheng/318909.html 转载请保留说明!

上一篇:SqlServer存储过程实现及拼接sql的注意点(sqlserver存储过程if语句)

下一篇:SQL Server中参数化SQL写法遇到parameter sniff ,导致不合理执行计划重用的快速解决方法(sql参数是什么意思)

  • 注册表打不开了的解决方法 注册打不开怎么办(图)(注册表出错打不开程序)

    注册表打不开了的解决方法 注册打不开怎么办(图)(注册表出错打不开程序)

  • Red Hat Enterprise Linux AS release 4 apache+MYsql+PHP的安装和优化

    Red Hat Enterprise Linux AS release 4 apache+MYsql+PHP的安装和优化

  • 自动适应iframe右边的高度(iframe内容自适应缩放)

    自动适应iframe右边的高度(iframe内容自适应缩放)

  • 执行Shell脚本的4种方法及区别介绍(执行shell脚本方式)

    执行Shell脚本的4种方法及区别介绍(执行shell脚本方式)

  • 卖旧书侵权吗
  • 一般税收协定是多少
  • 房东口头答应减免房租又反悔了
  • 小规模企业跨月专票如何冲红
  • 发票的规格和型号有哪些
  • 卷票发票校验码在哪里
  • 个税系统添加不了新的单位
  • 财务费用中的汇兑损益记在现金流表哪里
  • 土地返还款属于政府补助吗
  • 税务年检流程
  • 置换新房产支付资金怎么纳税?
  • 工作过失扣工资合法吗
  • 预付材料款会计分录
  • 生产企业没有进项税如何交增值税
  • 个税负数怎么做账
  • 餐饮业一般纳税人企业所得税税率
  • 年终奖专项扣除
  • 电子商务出纳的岗位职责
  • 可供出售债券投资
  • 公司打白条
  • 华为鸿蒙一键抠图
  • 防火墙老是弹出来怎么弄
  • linux的用法
  • php中面向对象
  • linux如何删除lv
  • 电脑开机后桌面图标变乱
  • js编写一个标准的单例模式类
  • wrme.exe是什么
  • 无偿赠送房屋要交税吗
  • 固定资产折旧企业所得税税前扣除标准
  • 固定资产以前年度未入账怎么处理
  • 使用vscode开发vue例子
  • php导出大量数据
  • 收到电子退库如何入账
  • expdp/impdp oracle数据泵导入导出
  • web网页设计期末作业猫眼电影首页
  • chat top
  • yum命令详解
  • 如何修改php网页内容
  • 权益类证券投资包括
  • dedecms源码
  • 帝国cms视频教程
  • access宏操作
  • db2bigint
  • mongodb 全文索引
  • 原材料卖出去会计分录
  • 营改增一般纳税人可以选择简易计税
  • 车辆固定资产的折旧方法
  • SQLserver2008数据库Excel数据导入语句
  • 存货和固定资产一经计提减值以后期间不得转回
  • 哪些增值税专用发票能抵扣进项税
  • 提高资产利用率的例子
  • 存货是指企业在生产经营过程中为销售或耗用
  • 什么叫政府补贴学位生
  • 无形资产的成本包括增值税吗
  • 收据作为原始凭证的依据
  • 企业所得税税前扣除项目有哪些
  • 出租房屋会计账务处理
  • 不含税劳务报酬7000
  • 其他权益工具包括交易性金融资产吗
  • 员工预支工资可以从工资里扣吗
  • 会计档案步骤
  • 财经网课 app
  • mysql导入导出sql文件
  • sql必会知识
  • 设置ubuntu
  • mac系统命名规律
  • 方正笔记本
  • 安全组件异常,请重新下载并安装
  • ubuntu系统应用
  • 网站遇到错误号怎么办
  • windows8开始菜单消失了怎么恢复
  • xp升级win8.1
  • win8.1无线
  • Linux网络抓包工具
  • java.基础
  • 用javascript写简单网页
  • 印花税为什么不计入资产成本
  • 2019税务系统升级
  • 什么是解放思想?请阐述解放思想和实事求是之间的关系
    • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设