【安全】SQL注入
什麼是SQL注入
SQL注入是指將刻意構造的參數傳遞給SQL語句,使SQL語句不按預期的行爲執行,從而暴露一些敏感信息或產生未預期的結果。
如上圖所示,用於進行登陸時,將用戶名改爲username AND 1=1 /*,因爲/*後面的內容被註釋了,因而後臺在判斷是否密碼是否正確時並無比較密碼,因此任何帳號均可以直接登陸。html
SQL注入場景
如何預防SQL注入
- 預編譯SQL
a) 使用JDBC時,執行SQL應使用PreparedStatement;
b) 使用MyBatis時,配置文件中參數應使用#拼接,避免使用$符拼接; - 使用白名單方式驗證用戶輸入數據
- 對用戶輸入數據進行轉義
對SQL字符串進行轉義能夠調用common-lang提供的接口StringEscapeUtils.escapeSql()
參考:
SQL Injection Preventionspa
相關文章
- 1. WEB安全-SQL注入
- 2. Web安全之SQL注入
- 3. web安全:sql 注入
- 4. WEB安全——SQL注入
- 5. 初探SQL注入--安全
- 6. web安全:SQL注入
- 7. 安全相關,SQL 注入
- 8. Web安全 - SQL注入
- 9. WEB 安全之 SQL注入 < 二 > 暴庫 WEB 安全之 SQL注入一
- 10. 0基礎sql注入_安全基礎sql注入
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安裝與使用
- • YAML 入門教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. WEB安全-SQL注入
- 2. Web安全之SQL注入
- 3. web安全:sql 注入
- 4. WEB安全——SQL注入
- 5. 初探SQL注入--安全
- 6. web安全:SQL注入
- 7. 安全相關,SQL 注入
- 8. Web安全 - SQL注入
- 9. WEB 安全之 SQL注入 < 二 > 暴庫 WEB 安全之 SQL注入一
- 10. 0基礎sql注入_安全基礎sql注入