前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >SQL注入

SQL注入

作者头像
田维常
发布2019-08-05 19:01:13
1.6K0
发布2019-08-05 19:01:13
举报
文章被收录于专栏:Java后端技术栈cwnait
SQL注入是注入式攻击中的常见类型,SQL注入式攻击是未将代码与数据进行严格的隔离开,最后导致在读取用户数据的时候,错误的把数据作为代码的一部分进行执行,从而导致一些安全问题。

SQL注入自诞生以来以其巨大的杀伤力而闻名于世。典型的SQL输入的例子就是当对SQL进行字符串拼接操作的时候,直接使用未加转义的用户输入内容作为变量,比如下面的这种情况:

代码语言:javascript
复制
代码语言:javascript
复制
var condition;
condition=Request.form("condition");
var sql="select * from User where id='"+condition+"'";
代码语言:javascript
复制
这样如果用户输入id是没问题,但是如果condition是“;”+delete/update语句的话,会有你意想不到的的结果。

曾经在某个业务中,用户在修改签名时,非常容易输入“#--!#@”这样的内容用来表达心情,然后点击保存后出发数据库更新。由于该业务未危险字符串“#--”进行转义,导致where后边的信息被注释掉,执行语句变成下面这种情况:

代码语言:javascript
复制
update user set common="\"# -- ! #" where user_id=10001

该SQL语句的执行会导致全库的common字段被更新,所以,SQL注入的危害是无法想象的,注入的原理也很简单,

如何防范SQL注入呢?

过滤用户输入参数中的特殊字符,从而降低SQL注入的风险

禁止通过字符串拼接SQL的语句,严格使用参数绑定传入的SQL参数

合理使用数据库访问框架的防注入机制

Mybatis提供的#{}绑定参数,从而防止SQL注入。另外,注意谨慎使用${},当${}相当于使用字符串拼接SQL拒绝拼接的SQL语句,使用参数化的语句。

总之,一定要简历对注入式攻击的风险意识,正确使用参数化绑定SQL变量,这样才能有效地避免SQL注入。实际上,其他诸如也是类似的方法。

再次提醒:作为一个开发人员,我们一定要时刻保持对注入攻击的高度警惕。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-08-04,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Java后端技术栈 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档