zoukankan      html  css  js  c++  java
  • Java 防SQL注入

    SQL 注入简介
    SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入:

    比如在一个登陆界面,要求用户输入用户名和密码:

    用户名: ' or 1=1 --

    密 码:

    点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如:

    String sql="select * from users where username='"+userName+"' and password='"+password+"' "

    那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

    这是为什么呢?我们来看看这条语句,将用户输入的数据替换后得到这样一条语句:

    select * from users where username='' or 1=1 --' and password=''

    为了更明白些,可以将其复制到SQL分析器中,将会发现,这条语句会将数据库的数据全部读出来,为什么呢?

    很简单,看到条件后面 username='' or 1=1 用户名等于 '' 或 1=1 那么这个条件一定会成功,然后后面加两个-,这意味着

    什么?没错,注释,它将后面的语句注释,让他们不起作用,这样就可以顺利的把数据库中的数据读取出来了。

    这还是比较温柔的,如果是执行
    select * from users where username='' ;DROP Database (DB Name) --' and password=''

    .......其他的您可以自己想象。。。


    怎么解决?

    1.尽量少使用或者不使用动态sql,这样可以减少用户提供的sql直接放入语句。
    2.对数据库一些敏感内容进行加密存储,比如密码,电话等。
    3.限制数据库权限。
    4.不要直接向用户显示数据库错误,因为攻击者可以通过错误信息获取一定的有用信息。
    5.在代码上:进行过滤(在将拼接好的sql准备放入数据库中执行前进行拦截判断,用正则表达式或者使用Java语言自带的预编译)
  • 相关阅读:
    宽带手记
    adb的logcat使用
    项目经理
    小A老空调需求管理小记
    作为一个项目经理你关注的是什么
    技术采撷
    项目的落地目标
    和我一起使用postcss+gulp进行vw单位的移动端的适配
    高级程序设计第十三章,简单的事件捕获事件冒泡整理
    javascript高级程序设计第二章知识点提炼
  • 原文地址:https://www.cnblogs.com/cb1186512739/p/12831257.html
Copyright © 2011-2022 走看看