防止SQL注入式攻击的笔记

防止SQL注入式攻击的笔记

news/2025/4/19 13:25:34/文章来源:https://blog.csdn.net/xishining/article/details/88400636

SQL注入式攻击是指利用设计上的漏洞攻击系统。如果动态生成SQL语句时没有对用户输入的数据

进行过滤，便会使SQL注入式攻击得逞。

例如用下面的SQL语句判断用户名和密码：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" & txtpassword.text & "'"

则通过SQL注入式攻击，在“密码”文本框中输入1'or '1'='1,非法用户便可在

没有密码的情况下轻松登录系统，因为SQL语句已经变为：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" &_1'or '1'='1 & "'"

要防范SQL注入式攻击，应该注意一下几点;

1,检查输入的SQL语句的内容，如果包含敏感字符，则删除敏感字符，敏感字符

包含【',>,<=,!,_,+,*,/,(),|和空格】

2，不要在用户输入过程中构造where子句，应该利用参数来使用存储过程。

下面举例来防范SQL注入式攻击：

Function inputString(mystr) as String

mystr=Trim(mystr)

mystr=Replace(mystr,"'","'")

mystr=Replace(mystr,"；--","")

mystr=Replace(mystr,"=",""）

mystr=Replace(mystr,"or","")

mystr=Replace(mystr,"and","")

End Function

txtsql="select * from user_info where userid='" & txtuserid & "' and_

password='" & inputString(txtpassword.text) & "'"

欢迎关注我的公众号（同步更新文章）：DoNet技术分享平台

阅读原文

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/272669.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

linux输入一个用户看是否在工作,linux下的用户管理详解

linux输入一个用户看是否在工作,linux下的用户管理详解

linux下的用户管理详解useradd 命令详解添加用户想要对linux下面的帐号了解的话首先必须要了解的4个配置文件[rootlocalhost /]# cat /etc/passwd首先我们需要了解的是用户帐号的配置信息/etc/passwd里面的内容每个字段都以:分割，下面我们详细的看看每个字段的意思r…

阅读更多...

Java命令学习系列（零）——常见命令及Java Dump介绍

Java命令学习系列（零）——常见命令及Java Dump介绍

Java命令学习系列（零）——常见命令及Java Dump介绍一、常用命令： 在JDK的bin目彔下,包含了java命令及其他实用工具。  jps:查看本机的Java中进程信息。  jstack:打印线程的栈信息,制作线程Dump。  jmap:打印内存映射,制作堆Dump。  …

阅读更多...

优秀程序员的十个习惯

优秀程序员的十个习惯

在这个世界上，有数百万的人热衷于软件开发，他们有很多名字，如：软件工程师（Software Engineer），程序员（Programmer），编码人（Coder）&…

阅读更多...

linux下jmap 内存命令,Linux下jmap命令查看内存使用

linux下jmap 内存命令,Linux下jmap命令查看内存使用

Linux下jmap命令查看内存使用jmap -heap 1234(1234为进程号)jmap是JDK自带的一个工具，非常小巧方便，其支持参数如下：-heap打印heap空间的概要，这里可以粗略的检验heap空间的使用情况。例：jmap -heap 12345输出&#xf…

阅读更多...

BZOJ3144: [Hnoi2013]切糕

BZOJ3144: [Hnoi2013]切糕

题目：http://www.lydsy.com/JudgeOnline/problem.php?id3144 把每一条z轴都拿出来，s->(x,y,1),cf[x][y][1];(x,y,k)->(x,y,k1),cf[x][y][k];(x,y,r)->t,cinf 然后对于四联通的点，(x,y,z)->(x,y’,z-d) 似乎这叫经典的最小割模型…

阅读更多...

如何通俗地解释 C、C++、C#、Java、JavaScript、HTML、Python的用处

如何通俗地解释 C、C++、C#、Java、JavaScript、HTML、Python的用处

世界上本来没有计算机，工程师创造了它。为了让告诉计算机需要做什么事情，工程师发明了程序设计语言。简单粗暴的编程：C语言：用来学编程；C语言：用来使劲儿学编程；C#：用来在windows操作…

阅读更多...

安卓linux交叉编译,Linux Ubuntu下用Android NDK 生成独立交叉编译链

安卓linux交叉编译,Linux Ubuntu下用Android NDK 生成独立交叉编译链

本文主要介绍使用Android NDK生成独立交叉编译链，然后使用独立交叉编译链编译Android程序下载NDK下载与自己操作系统相吻合的版本下载地址解压到安装目录(如~/myndk):tar -zxvf android-ndk-r14b-linux-x86_64将NDK的根目录生成一个环境变量打开~/.bashrcw文件&…

阅读更多...

数据结构——各排序算法的比较

数据结构——各排序算法的比较

1.从时间复杂度比较　　从平均时间复杂度来考虑，直接插入排序、冒泡排序、直接选择排序是三种简单的排序方法，时间复杂度都为O(n2)，而快速排序、堆排序、二路归并排序的时间复杂度都为O(nlog2n)，希尔排序的复杂度介于这两者之间。…

阅读更多...

将c程序移植到linux,各位大侠：我把原来在linux运行的c程序移植到HPUNIX上出现了错误...

将c程序移植到linux,各位大侠：我把原来在linux运行的c程序移植到HPUNIX上出现了错误...

各位大侠：我把原来在linux运行的c程序移植到HPUNIX上出现了错误(2012-04-11 00:43:47)标签：linuxc程序杂谈各位大侠：我把原来在linux运行的c程序移植到HP_UNIX上出现了错误makefileCC aCC -AA W829 DD64 DAportable-I/ods/app/oracle/produc…

阅读更多...

数据库学习建议之提高数据库速度的十条建议

数据库学习建议之提高数据库速度的十条建议

很多网站的重要信息都是保存在数据库中的，用户通过提交访问数据库来获取用户信息。如果数据库速度非常的快，有助于节省服务器的资源，在这篇文章中，我收集了十个优化数据库速度的技巧。0. 小心设计数据库第一个技巧也许看来理所当然…

阅读更多...

Java中数据类型的取值范围

Java中数据类型的取值范围

整数数据类型的取值范围我们都知道计算机的底层是二进制，也知道不同的整数类型存储值的范围不同，可这些数值在计算机底层是怎样存储的呢？数值范围又是怎么计算出来的呢？ 下面以java来进行举例： byte 1个字节 (8bit…

阅读更多...

linux的cpu信息怎么理解,理解Linux下的CPU信息：lscpu cpuinfo

linux的cpu信息怎么理解,理解Linux下的CPU信息：lscpu cpuinfo

通过lscpu命令，可以看到CPU的一些基本信息。如下所示，可以很清楚的看到这台服务器使用两个物理socket，每个socket上有6个core，每个core上有两个线程(超线程)，所以一共有2 * 6 * 2 24个逻辑CPU。Architecture: x86_64C…

阅读更多...

如何降低SQL语句复杂度

如何降低SQL语句复杂度

SQL语句复杂度的优化就是在结果正确的前提下，将复杂、难以维护的SQL语句拆分成独立、易懂的SQL片段，当然也要充份利用索引，减少表描的I/O次数，尽量避免表搜索的发生。下面介绍降低SQL语句复杂度的几个建议1、动态查询语句一些应用…

阅读更多...

提高程序员工作效率的11个技巧

提高程序员工作效率的11个技巧

“吃苦耐劳”真的是优良品质吗，与你怎么做相比，老板们应该更关心你做了什么、达到的效果。所以，效率，还是效率，希望这些实用小技巧对大家有所帮助。1、两分钟法则如果一件事可以在两分钟内完成，比如回复邮件…

阅读更多...

tq3358 linux 串口驱动编程,TQ335x——spidev驱动的生成

tq3358 linux 串口驱动编程,TQ335x——spidev驱动的生成

kernel：CD盘的kernel3.2包环境：vmware10，ubuntu14.04修改的部分：arch/arm/mach-omap2/board-am335xevm.c文件中static struct spi_board_info am335x_spi1_slave_info[] {{.modalias "smb380",.platform_data &A…

阅读更多...

Linux下显示ip所属位置

Linux下显示ip所属位置

在linux下，要是网络出现延迟，通常我们需要分析自己到对端的服务器的网络环境 1 例：ping www.baidu.com 2 traceroute www.baidu.com 通过分析来确定大概是什么问题，可当我们去跟踪某个ip的时候不知道来源，假如每一个…

阅读更多...

C#程序集相关的概念

C#程序集相关的概念

程序集包含：类型元数据（描述在代码中定义的每一类型和成员，二进制形式）。程集元数据（程序集清单、版本号、名称等）、IL代码（这些都被装在exe或dll中）、资源文件。每个程序集都有自己…

阅读更多...

linux+删除乱码的文件,linux 下删除乱码文件-乾颐堂

linux+删除乱码的文件,linux 下删除乱码文件-乾颐堂

在linux下删除文件，遇到特殊字符是一件非常头疼的事情。1. 如果文件名带 ‘-’ 或者‘--’这样的字符删除办法为：rm -- 文件名如文件名为：-pythontab.tgz如果用普通方法去删除：1rm -pythontab.tgz结果错误：rm: invalid…

阅读更多...

程序员如何保护自己的颈椎

程序员如何保护自己的颈椎

我们程序员天天对着电脑，眼睛，颈椎等等，都会落下不少的职业病。来说说怎么治疗自己的颈椎病。1、颈椎病是怎么产生的形成颈椎病的核心原因是：不良生活习惯我们身体的绝大部分疾病都是来自不良的生活习惯，生活习惯不改&…

阅读更多...

如何改变XCode的默认设置

如何改变XCode的默认设置

改变bundle ID 进入 /Developer/Platforms/iPhoneOS.platform/Developer/Library/Xcode/Project Templates/Application 目录然后进入各个子目录(Navigation-based ApplicationOpenGL ES ApplicationSplit View-based ApplicationTab Bar ApplicationUtility ApplicationView-b…

阅读更多...

最新文章