防止SQL注入,需要注意以下几个要点:
-
永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
-
永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
-
永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
-
不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
-
应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
-
sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
编辑于 2020-08-02 13:25:11
回复(8)
public static void main(String[] args) throws Exception {
String name="xxx";
String password="xxx' or '1'='1";
String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
System.out.println(sql);
}
String name="xxx";
String password="xxx' or '1'='1";
String sql="select * from user_table where username='"+name+"' and password='"+password+"'";
System.out.println(sql);
}
控制台输出拼接后的sql为:select * from user_table where username='xxx' and password='xxx' or '1'='1'(达到攻击效果,查询出所有用户信息)
所以是单引号导致逻辑发生变化。
发表于 2020-03-26 22:04:23
回复(0)
问题信息
-
扫描二维码,关注牛客网
- 意见反馈
-
下载牛客APP,随时随地刷题
扫一扫,把题目装进口袋
- 求职之前,先上牛客
-
扫描二维码,进入QQ群
扫描二维码,关注牛客公众号
- 公司地址:北京市朝阳区北苑路北美国际商务中心K2座一层-北京牛客科技有限公司
- 联系方式:010-60728802 投诉举报电话:010-57596212(朝阳人力社保局)
- 牛客科技© All rights reserved admin@nowcoder.com
- 京ICP备14055008号-4 增值电信业务经营许可证 营业执照 人力资源服务许可证
-
京公网安备
11010502036488号
