关于SQL注入与防注入
Posted 入了前端头发就凉凉
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于SQL注入与防注入相关的知识,希望对你有一定的参考价值。
SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。
简单来说,就是别人可以通过你的语法漏洞向你的数据库随便添加数据
解决办法:
采用sql语句预编译和绑定变量,是防御sql注入的最佳方法
String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery();
其原因就是:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,
也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,
既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。
以上是关于关于SQL注入与防注入的主要内容,如果未能解决你的问题,请参考以下文章
JDBC编程之预编译SQL与防注入式攻击以及PreparedStatement的使用教程
以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响?
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段