- 当前位置:首页 >人工智能 >什么是 SQL 注入,这些坑得避开
什么是 SQL 注入,这些坑得避开
发布时间:2025-11-03 23:49:15 来源:技术快报 作者:数据库
1、注入sql 注入是避开什么
sql 注入就是用户通过输入的参数,拼接到原先的注入 sql 中,成为 sql 的避开一部分,从而影响 sql 的注入功能和执行结果
2、sql 注入破坏力
-小兵破坏力
比如原先 sql 如下
用户输入
复制name:臻大虾-- 注释 password:密码 1.2.那最终的避开结果猜猜是什么?
复制select * from user where name=臻大虾-- 注释 and password=密码; 1.两个-- 代表注释,所以这条 sql 只需要输入用户名,注入就可以获取用户信息,避开跳过了密码的注入校验
-boss 破坏力
来个厉害的,比如用户输入以下参数
复制name:臻大虾 password:; drop table user;-- 注释 1.2.最终的避开 sql:
复制select * from user where name=臻大虾 and password=; drop table user;-- 注释; 1.user 表居然被删除了,看到这,注入此时的云服务器提供商避开你可能想原地爆炸。
3、注入对策
3.1、避开PreparedStatement 预编译
使用预编译,注入这样传入的参数,会被当作字符串,也就是被引号包起来
拿刚才的例子,用户输入
复制name:臻大虾-- 注释 password:密码 1.2.如果使用了预编译,那最终的 sql
复制select * from user where name=臻大虾\-- \注释 and password=密码; 1.参数中的引号被转义,从而避免成为 sql 的一部分。
3.2、有些语句不能预编译
预编译获取参数是根据#,而$ 是拼接的意思
#{}:解析为预编译语句的云服务器一个参数占位符
${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值
比如传入:臻大虾 or 1=1
复制1、SELECT * FROM user WHERE name=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=1 2、SELECT * FROM user WHERE name=${name} //SELECT * FROM user WHERE name=臻大虾 or 1=1 1.2.但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用
还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?
like
复制select * from user where name like %#{name}%//会报错 select * from user where name like %${name}%//正常 1.2.正确写法
使用 mysql 的字符串拼接函数 concat
复制select * from user where name like concat(%,#{name},%) 1.in
正确写法,使用 foreach
复制@Select("<script>" + "select * from user where id in "+ "<foreach item=item index=index collection=userIds open=( separator=, close=)> " + "#{item}" + "</foreach>"+ "</script>") List<User> getByIds(@Param("userIds") List<Long> userIds); 1.2.3.4.5.6.7.order by
有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单
比如
复制List<String> allowSortColumnList= Lists.newArrayList("age","score"); if(!allowSortColumnList.contains(sortParam)){ thrownew RuntimeException("can not sort by "+sortParam); } 1.2.3.4.高防服务器- DIY澳洲电脑支架折纸教程(快速制作便捷实用的电脑支架,让你的工作更舒适)
- .net 适用于从事Internet相关的网络服务的机构或公司
- .net 适用于从事Internet相关的网络服务的机构或公司
- 主流搜索引擎显示的相关搜索项越多,越能积极反映该域名的市场价值。同时,被评估域名的搜索引擎显示结果不佳可能是由于以下两个原因:
- 电脑主机备件安装教程(手把手教你安装电脑主机备件,让你的电脑更强大)
- (4) 使用何种形式的域名后缀对网页搜索影响不大,但域名后缀也需要考虑方便用户记忆
- 3、不明先知,根据相关征兆预测可能发生的事件,以便提前做好准备,赶紧注册相关域名。;不差钱域名;buchaqian抢先注册,就是这种敏感类型。预言是最敏感的状态。其次,你应该有眼力。所谓眼力,就是善于从社会上时不时出现的各种热点事件中获取与事件相关的域名资源。眼力的前提是对域名领域的熟悉和丰富的知识。
- 域名和网址一样吗?域名和网址有什么区别?
- 联想电脑新机使用教程(带你一步步了解联想电脑新机,让你成为电脑操作达人!)
- .net 适用于从事Internet相关的网络服务的机构或公司
- 新3路由网刷教程(一步步教你如何刷机,让新3路由器发挥更大的作用)
- 用户邮箱的静态密码可能已被钓鱼和同一密码泄露。在没有收到安全警报的情况下,用户在适当的时间内不能更改密码。在此期间,攻击者可以随意输入帐户。启用辅助身份验证后,如果攻击者无法获取移动电话动态密码,他将无法进行身份验证。这样,除非用户的电子邮件密码和手机同时被盗,否则攻击者很难破解用户的邮箱。
- .com域名是国际最广泛流行的通用域名,目前全球注册量第一的域名,公司企业注册域名的首选。国际化公司通常会注册该类域名。
- 在数以亿计的网站中,我们应该抓住每一个可能带来宣传的机会,域名可以带有企业的名字,一般可以使用汉语拼音或者英语单词或者是相关缩写的形式,只要用户记住了你企业的名字,就能很容易的打出你的网站域名,同样的,记住了网站域名也能很快的记住你公司的名字。
- GTX6501GD5显卡的性能评测(一款老牌显卡的强势回归)
- 并非一个好米任何人都会给你一个好的价格。那你该如何用以有的好米卖出最理想的价格呢?
- tk域名是什么域名?新手对tk域名有什么看法?
- 四、配置网站,填充内容
- 如何利用Switch加速电脑?(教你简单操作,提高电脑速度!)
- 第三,.cc域名域名也有很多优势资源域名,从整体注册基数也可以由此推断;
随便看看
服务器租用香港云服务器企商汇亿华云源码下载IT技术网源码库益华科技IT资讯网益强科技益华科技汇智坊亿华互联益强前沿资讯益华IT技术论坛亿华科技亿华智慧云智能时代码力社编程之道益强数据堂科技前瞻技术快报益强科技创站工坊益强编程堂多维IT资讯益强智未来极客编程亿华云益强智囊团码上建站益华科技云站无忧极客码头运维纵横益强IT技术网思维库益强编程舍亿华灵动IT资讯网益强资讯优选全栈开发
- Copyright © 2025 Powered by 什么是 SQL 注入,这些坑得避开,技术快报 滇ICP备2023006006号-46sitemap