看了网上的很多答案,说什么的都有,希望数据库大佬能解释一下真正的原理,万分感谢!!!
1条回答 默认 最新
斯洛文尼亚旅游 2021-05-15 11:12关注主要是针对非参数化,而且直接拼接sql后执行才会有sql注入问题。
一个简单的示例,读取新闻的,需要id参数,值为数字,拼接sql如下
string id = Request.QueryString["id"]; string sql = "select * from news where id=" + id;正常情况下id输入数字,那么sql就是正常的。但是id参数是客户端提交的,内容不可控,可以人工修改,如id=1;delete from news;
这样如果为判断id的值,直接凭借,那么sql语句就会变为
select * from news where id=1;delete from news;
这样执行sql的话就会将news表内容清空了。
结论就是不要相信客户端提交的数据,即使客户端有用js验证过数据有效性,但是服务器端一定要再次验证过,因为数据是可以直接提交到接口,并不一定走你的js验证。
不过sql注入这种东东随便服务器安装个防护软件(如安全狗)就能拦截了,现在很难注入了
所以对应为数字的参数一定要判断值是否为数字,不是就输出错误提示参数错误什么的。
字符型参数的要替换掉单引号。
解决 无用评论 打赏举报
分享
- 2022-11-28 16:34例如,使用预编译的SQL语句(如PreparedStatement在Java中)可以有效防止SQL注入攻击,同时提高代码的可读性和可维护性。通过设置参数占位符(如?或$1等),我们可以安全地将参数值插入到SQL语句中,然后在执行时...
- 2022-05-25 22:19飞鸡炸弹的博客 本篇主要讲述防止sql注入部分 sql注入是什么 SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,...
- 2024-07-22 22:02carrot11223的博客 SQL 注入是一种常见的网络攻击手段,攻击者通过在用户输入中插入恶意的 SQL 代码,从而控制或破坏目标数据库。通常,这种漏洞存在于应用程序对用户输入未进行充分过滤和处理的情况下。
- 2020-12-15 02:50此外,考虑到SQL注入问题,使用参数化查询或存储过程可以有效防止这类攻击。参数化查询可以确保输入值不会被解释为SQL代码,而是作为数据处理,从而提高安全性。 总结来说,批量修改数据库表是数据库管理的重要任务...
- 2022-07-15 15:32氷阳的博客 SQL注入漏洞介绍
- 2022-06-24 15:21是木木啊.的博客 报错注入
- 2022-09-20 23:40yb0os1的博客 sql注入
- 2024-07-02 11:22承悦不会玩的博客 SQL 注入(SQL Injection)是一种常见的网络攻击技术,攻击者通过在应用程序的输入字段中插入恶意的 SQL 代码,从而改变原本的 SQL 查询语句的逻辑,以达到非法访问、修改或删除数据库中数据的目的。
- 2024-06-19 17:22heike_沧海的博客 用来防止sql注入 (2)${} ${}仅仅为一个纯粹的 string 替换,在动态sql解析阶段将会进行变量替换 ${} 解析之后是什么就是什么 ${} 用在sql字符串拼接中,使用时需要非常谨慎。但是像一些没有直接和系统用户接触的功能...
- 2022-06-23 15:51真珠柚子的博客 最详细的sql注入之报错注入,非常适合小白!!
- 没有解决我的问题, 去提问
