SQL注入攻击如何防止
Posted java冢狐
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入攻击如何防止相关的知识,希望对你有一定的参考价值。
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,由于没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。
什么是SQL注入攻击
下面我们就通过实际生产中的例子来演示什么是SQL注入攻击。
不安全代码编写
当我们不注意sql攻击的时候sql容易些成下面这样:
1public List<People> orderList (String peopleid){
2 String sql = " select id,name,age from people where people_id = " + peopleid;
3 return jdbcTemplate.query(sql,new BeanPropertyRowMapper(People.class));
4}
这个时候我们将前端传入的参数直接拼接到sql语句的后端,此时就容易出现sql注入攻击。
攻击方式
越过判断条件查询所有数据
通过前面的分析,由于是sql拼接,所以我们在攻击的时候只需要在其后面拼接一个诸如:or 1=1的恒等式,即可查询到所有的信息。
查询mysql版本号(version())
使用union拼接sql
查询数据库名(database())
使用union拼接sql
查询mysql当前用户的所有库
也是使用union拼接sql
由此我们可以看出,只要使用拼接sql的方式,对方就有一百种方法来攻击你,找到一些关键数据。
如何防止sql注入
代码层
代码层防止sql注入攻击的最佳方案就是sql预编译
1public List<People> orderList (String peopleid){
2 String sql = " select id,name,age from people where people_id = ?" ;
3 return jdbcTemplate.query(sql,new BeanPropertyRowMapper(People.class));
4}
这样传过来的参数 4 or 1 = 1 就会被当做是一个people_id,就不会出现SQL注入了。
其他方法
确认每种数据的类型,比如是数字的,数据库则必须使用int类型来存储
规定数据长度,能从一定程度上防止sql注入
严格限制数据库权限,能最大程度上减少sql注入的危害
避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应
过滤参数中含有的一些数据库关键词
最后
如果觉得看完有收获,希望能给我点个赞,这将会是我更新的最大动力,感谢各位的支持
如果看完有不同的意见或者建议,欢迎多多评论一起交流。感谢各位的支持以及厚爱。
以上是关于SQL注入攻击如何防止的主要内容,如果未能解决你的问题,请参考以下文章