怎么防止SQL注入

2018-09-10  本文已影响0人  愤怒的灰机

  1. SQL注入举例
    定义sql语句(php):
    sql="select * from user where username='username' and password= '$password' ";
    然后提交如下URL:
    127.0.0.1/injection/user.php?username=angel' or '1=1
    或:127.0.0.1/injection/user.php?username=angel' /*
    127.0.0.1/injection/user.php?username=angel' #(这两种方式可以把后面的语句注释掉)
    就可以不需要密码便能查询或登陆,这便是sql注入的一种方式。

  2. 应对措施
    (1)PrepareStatement+Bind-Variable
    因为MySQL不存在共享池的概念,所以在MySQL上使用绑定变量(Bind-Variable)最大的好处是为了避免SQL注入,增加安全性,以Java为例:
    Connection con=getConnection();
    String sqlStmt="select * from user where username = ? and password = ?";
    PreparedStatement prepStmt =conn.prepareStatement(sqlStmt);
    prepStmt.setString(1,"angel ' or 1=1' ");
    prepStmt.setString(2,"test");
    System.out.println(prepStmt.toString());
    //输出:select * from user where username= 'angel' or 1=1' ' and password ='test';
    res=prepStmt.executeQuery();
    可以看到采用了绑定变量后输入的非法字符会被正常转义而不会作为SQL的条件被解析,避免了SQL注入的风险。
    注意:提供该功能的是JDBC驱动,而非MySQL。
    (2)自己定义函数来校验
    即可以通过对用户提交或可能改变的数据进行分类,然后用正则表达式来对用户提供的输入数据进行检测和验证,特别是空格符号和与其产生相同作用的分割关键字的符号,如“/**/”,同时也要过滤他们的16进制表示"%XX"。
    (3)使用应用程序提供的转换函数
    如MySQL C API的:mysql_real_escape_string();
    MySQL++的: escape和quote修饰符。

上一篇下一篇

猜你喜欢

热点阅读