专栏首页李洋博客Web安全漏洞之SQL注入的原理及修复方案

Web安全漏洞之SQL注入的原理及修复方案

今天在聊聊Web一些常见的安全防范措施,比如sql注入,可能很多人会很奇怪为什么最近都是一些Web安全防护之类的文章,因为我之前未涉及到这些问题,基本都是系统或者程序框架已经完善了这些内容,只是最近接触的项目很多都涉及安全防护领域,所以遇到了这些问题就简单记录下,不一定什么时候就用到了,免费到时候慌慌张张,无从下手。

sql注入原理

sql注入原理就是用户输入动态的构造了意外sql语句,造成了意外结果,是攻击者有机可乘。

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:

①不当的类型处理;

②不安全的数据库配置;

③不合理的查询集处理;

④不当的错误处理;

⑤转义字符处理不合适;

⑥多个提交处理不当。

sql注入危害

数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。

网页篡改:通过操作数据库对特定网页进行篡改。

网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。

数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。

服务器被远程控制,被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。

破坏硬盘数据,瘫痪全系统。

sql注入解决方案

1.参数验证

2.特殊字符过滤

3.使用参数化语句,不要拼接sql

4.编码输出

5.平台过滤

总之就是要做好过滤与编码并使用参数化语句,这样sql注入漏洞基本能够解决,都是些建议方案,没有具体的教程,因为程序不一样,所以代码也不可能一致,就算是抛砖引玉,指引下方向,然后思路去排查和解决具体的方案,好了,记录文章仅供参考而已!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)

    近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-1392...

    腾讯云安全
  • 安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)

    近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-13921...

    腾讯安全
  • 这可能是最全的入门Web安全路线规划

    本次写的是一篇如何通过针对性系统学习Web安全或者说如何能成为一名渗透测试人员(有疑问或者错误的地方还望大家多多指正)。

    Gcow安全团队
  • 安全漏洞公告

    1 IBM WebSphere Portal WEB内容管理程序信息泄露漏洞 IBM WebSphere Portal WEB内容管理程序信息泄露漏洞发布时...

    安恒信息
  • 攻防演练的热潮发展

    当然我们单位也是很严格的,去年因为我刚入职,工位上的一台公共PC与红队IP建立了通信,被怀疑是间谍,整个护网被隔离,所以蓝队的护网中后期基本没有参与。

    Gcow安全团队
  • 网站漏洞检测对php注入漏洞防护建议

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻...

    技术分享达人
  • 漏洞库(值得收藏)

    风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服...

    勤奋的思远
  • 常规web渗透测试漏洞描述及修复建议

    apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作

    C4rpeDime
  • 常规36个WEB渗透测试漏洞描述及修复方法--很详细

      apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作

    7089bAt@PowerLi
  • 【漏洞预警】泛微e-cology OA系统SQL注入漏洞预警通告

    2019年10月10日,国家信息安全漏洞共享平台(CNVD)公布了泛微e-cology OA系统存在SQL注入漏洞(CNVD-2019-34241)。泛微e-c...

    绿盟科技安全情报
  • WEB应用常见15种安全漏洞一览

    SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。

    Fundebug
  • 数据库防火墙

    数据库防火墙仿佛是近几年来出现的一款新的安全设备,但事实上历史已经很长。2010年,Oracle公司在收购了Secerno公司,在2011年2月份正式发布了其数...

    数据安全
  • 浅谈数据库防火墙技术及应用

    数据库防火墙仿佛是近几年来出现的一款新的安全设备,但事实上历史已经很长。2010年,Oracle公司在收购了Secerno公司,在2011年2月份正式发布了其数...

    网络安全观
  • 这可能是最适合萌新入门Web安全的路线规划

    最近在后台经常收到粉丝问,Web安全有没有什么路线。确实,Web安全的范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说...

    贝塔安全实验室
  • Java(web)项目安全漏洞及解决方式【面试+工作】

    Java帮帮
  • Apache Struts2漏洞又来, 腾讯云WAF一键防御

    腾讯云安全
  • 浅谈开源web程序后台的安全性

    一、前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文...

    FB客服
  • Apache Struts2漏洞又来, 腾讯云WAF一键防御

    腾讯云安全
  • Web开发常见的几个漏洞解决方法

    平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻 击,但有时候一些系统...

    wangxl

扫码关注云+社区

领取腾讯云代金券