sql注入是目前黑客最常用的攻擊手段,它的原理是利用資料庫對特殊識別符號的解析強行從頁面向後台傳入。改變sql語句結構,達到擴充套件許可權、建立高等級使用者、強行修改使用者資料等等操作。
那怎麼判斷是否被sql注入了呢?
通過sql注入的原理我們知道,判斷sql注入可以通過頁面傳入的資料,後台不應該相信從後台傳入的任何資料特別是特殊整型引數和特殊字元引數!
防止sql注入其實也很簡單
1.檢查變數資料型別和格式
只要是固定格式的變數,在sql語句執行前,應該嚴格按照固定格式檢查,確保變數是我們預想的格式!
2.過濾特殊符號
對於無法確定固定格式的變數,一定要進行特殊符號過來或轉移處理,一面之星sql時有歧義。
當我們上傳的時候
enctype=\」multipart/form-data\」
enctype=」multipart/form-data」
實際上,繫結變數使用預編譯語句是預防sql注入的最佳方法,使用預編譯的sql語句語義不會發生改變。在sql語句中,變數用問號?表示,黑客即使本事再大,也無法改變sql語句的格式,從根本上杜絕了sql注入攻擊的發生。
4.資料庫資訊加密安全
有時候資料庫資訊洩露了,我們應該對資料庫的密碼等資訊進行加密(md5等),這樣資訊洩露,損失也可以在控制在一定範圍內。
使用jsp的時候要注意
1.不要隨意開一生產環境彙總webserver的錯誤顯示。
2.永遠不要相信來自使用者端的變數輸入,有固定格式的變數一定要嚴格檢查對應的格式,沒有固定格式的變數需要對引號等特殊字元進行必要的過濾轉義。
3.使用預編譯繫結變數的sql語句
4.做好資料庫賬號許可權管理
5.嚴格加密處理使用者機密資訊
乙個好的程式一定要注意安全性,否則只適合練手。
什麼是SQL注入以及如何防止SQL注入
case 1 模擬使用者登陸案例 1 準備資料 use jt db create table user id int primary key auto increment,username varchar 50 password varchar 50 insert into user values ...
SQL注入基本型別以及如何防止sql注入
注入型別 1.數字注入 select from users where name jack and password 1 or 1 1 password 2.字串注入 select from user where name jack and password sdjakfjsadklfjklsdfd...
防止SQL注入
1.什麼是sql注入 所謂sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通過遞交引數構造巧妙的sql語句,從而成功獲取想要的資料。2.sql注入的種類 從具體而言,sql注入可分為五大類,分別是 數字型注入 字元型注入...