SQL注入
SQL注入前端
簡介:
利用現有的應用程序,將惡意的SQL命令注入到存在安全問題的應用程序的後臺數據庫,使得對數據庫的操做不按照設計者的意圖去操做。
案例
源代碼:select id from users where username = '"+username +"' and password = '" + password +" SQL注入:select id from users where username = 'abc' or 1 = 1-- and password = '123' 注入後你隨便輸入用戶名和密碼即可以登陸
預防SQL注入
前端:對用戶輸入的信息進行校驗,避免使用操做數據庫的字段、對單引號和雙"-"進行轉換等。sql
後臺:數據庫
1. 永遠不要使用動態拼裝sql,可使用參數化的sql或者直接使用存儲過程進行數據查詢存取。安全
好比mybatis中:
<if test="goodsName != null">
AND goods_name LIKE CONCAT('%','${goodsName}','%')
</if>
<if test="goodsName != null">
AND goods_name LIKE CONCAT('%',#{goodsName},'%')
</if>
2. 應用程序拋出的異常進行分裝,避免暴露數據庫結構。mybatis
3. 不一樣應用程序使用不一樣的數據庫權限。加密
4. 對於機密的信息進行加密,好比密碼等。spa
相關文章
- 1. SQL注入:SQL注入類型(手動)&SQL注入的檢測
- 2. SQL注入-SQL注入基礎
- 3. SQL注入(三)#sql注入 bugku
- 4. SQL注入:SQL注入的原理
- 5. SQL注入:SQL注入防護
- 6. SQL注入:Sql注入之sqlmapapi介紹
- 7. sql注入---盲注
- 8. SQL注入---盲注
- 9. SQL注入:盲注
- 10. SQL注入-盲注
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • YAML 入門教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. SQL注入:SQL注入類型(手動)&SQL注入的檢測
- 2. SQL注入-SQL注入基礎
- 3. SQL注入(三)#sql注入 bugku
- 4. SQL注入:SQL注入的原理
- 5. SQL注入:SQL注入防護
- 6. SQL注入:Sql注入之sqlmapapi介紹
- 7. sql注入---盲注
- 8. SQL注入---盲注
- 9. SQL注入:盲注
- 10. SQL注入-盲注