防止SQL注入式攻击的笔记

作者: 小明yz | 来源:发表于2017-09-05 09:04 被阅读41次

防止SQL注入式攻击的笔记
【导读】Java安全编码标准—第2章输入验证和数据净化
java编程学习笔记——mybatis SQL注入问题
Openresty 配置 waf
web常见漏洞的成因和修复
笔记：web漏洞
PHP代码安全之SQL注入
MyBatis 防止sql注入攻击
安全
2017/02/17

SQL注入式攻击是指利用设计上的漏洞攻击系统。如果动态生成SQL语句时没有对用户输入的数据

进行过滤，便会使SQL注入式攻击得逞。

例如用下面的SQL语句判断用户名和密码：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" & txtpassword.text & "'"

则通过SQL注入式攻击，在“密码”文本框中输入1'or '1'='1,非法用户便可在

没有密码的情况下轻松登录系统，因为SQL语句已经变为：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" &_1'or '1'='1 & "'"

要防范SQL注入式攻击，应该注意一下几点;

1,检查输入的SQL语句的内容，如果包含敏感字符，则删除敏感字符，敏感字符

包含【',>,<=,!,_,+,*,/,(),|和空格】

2，不要在用户输入过程中构造where子句，应该利用参数来使用存储过程。

下面举例来防范SQL注入式攻击：

Function inputString(mystr) as String

mystr=Trim(mystr)

mystr=Replace(mystr,"'","'")

mystr=Replace(mystr,"；--","")

mystr=Replace(mystr,"=",""）

mystr=Replace(mystr,"or","")

mystr=Replace(mystr,"and","")

End Function

txtsql="select * from user_info where userid='" & txtuserid & "' and_

password='" & inputString(txtpassword.text) & "'"

欢迎关注我的公众号（同步更新文章）：DoNet技术分享平台

阅读原文

网友评论

本文标题：防止SQL注入式攻击的笔记

本文链接：https://www.haomeiwen.com/subject/cvtujxtx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

防止SQL注入式攻击的笔记

相关文章