SQL注入安全漏洞详解

1. SQL注入的原理:

SQL注入的攻击行为是通过用户可控参数中注入了SQL语法,改变原有SQL结构,以下两种情况可以造成SQL注入:

1.使用字符串拼接的方式构造SQL语句

2.未对用户可控参数进行严格的过滤,便把参数内容拼接到SQL语句中

2. SQL注入的危害

攻击者通过利用SQL注入漏洞,获取数据库的各种信息(如后台的账号密码),从而脱取数据库的内容(脱库);

特别的情况下还可以对数据库内容进行插入、修改、删除

如果数据库权限分配存在问题,或者数据库本身存在缺陷,攻击者可以通过SQL注入漏洞来直接获取webshell或服务器权限

3. SQL注入解决方案

3.1 使用预编译处理

  • #{}:预编译处理。
  • ${}:字符直接替换。
    预编译处理:MyBatis 在处理#{}时,会将 SQL 中的 #{} 替换为?号,使⽤ PreparedStatement
    的 set ⽅法来赋值。
    直接替换:是MyBatis 在处理 ${} 时,就是把 ${} 替换成变量的值。
    特别注意字符串使用 替换时需要加引号。使用 {} 替换时需要加引号。 使用 替换时需要加引号。使用可以处理关键字,比如我们sql的升序降序关键字,因为$符号是直接替换
<select id="getData" resultType="com.demo.get">select * from member order by id ${str};
</select>

其他建议:

  1. 严格确定数据的类型,比如入参是数字,数据库则必须使用int类型来存
  2. 规定数据长度,能在一定程度上防止sql注入
  3. 严格限制数据库权限,能最大程度减少sql注入的危害
  4. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

3.2 模糊查询的解决方案

如果业务场景中需要使用模糊查询,不能使用如下形式:

select * from member where username like '%${str}%';

而是应该是如下形式:

select * from member where username like CONCAT('%',#{str},'%');

3.3 过滤关键词

/*** 关键词校验* @param str* @return*/
protected static boolean sqlValidate(String str) {// 统一转为小写str = str.toLowerCase();// 过滤掉的sql关键字,可以手动添加String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +"char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +"table|from|grant|use|group_concat|column_name|" +"information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +"chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#|" + "in|group|net|user|between|concat|=|>|<|xor|`|&|!|^|~";//另外"与|这两个符号也推荐过滤String[] badStrs = badStr.split("\\|");for (int i = 0; i < badStrs.length; i++) {if (str.indexOf(badStrs[i]) >= 0) {return true;}}return false;
}

过滤关键词可能会有一些绕过的攻击方案,目前以上的过滤关键词没有绕过的方案。

3.4 框架引入的SQL注入问题

在开发项目过程中,可能会存在一些框架引入的安全问题,最好的方案就是按照官方的指引,升级最新的解决安全漏洞的版本。
比如说JeecgBoot 最近就存在sql注入的安全漏洞。

一、漏洞描述
表字典存在 SQL 注入漏洞,远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。漏洞危害等级:高危

二、影响范围
jeecgboot 版本 < 3.5.4
三、修复方案
升级至3.6.1版本,不兼容的请自行调整。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/585238.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AxGlyph安装教程

AxGlyph安装教程 AxGlyph是一款用于创建科学图表的强大工具&#xff0c;以下是AxGlyph的下载和安装步骤。 步骤一&#xff1a;下载AxGlyph 访问下载地址&#xff1a;点击下载 解压安装包 步骤二&#xff1a;运行安装程序 点击AxGlyph_Setup_Win7_8_10.exe进行安装 安装完成…

FHE简介

1. 引言 加密技术已经存在了数千年&#xff0c;用于相互发送秘密信息。例如&#xff0c;凯撒密码是最早的加密技术之一&#xff0c;可以追溯到公元前60年&#xff0c;其只由字母表中的字母交换组成。 随着互联网的出现&#xff0c;人们生成的私人数据量呈指数级增长&#xff…

【Maven】下载及配置

文章目录 1. 下载2. 解压3. 配置环境变量4. 验证 Maven 是一个跨平台的项目管理工具。作为 Apache 组织的一个颇为成功的开源项目&#xff0c;其主要服务于基于 Java 平台的项目创建&#xff0c;依赖管理和项目信息管理&#xff0c;是一个自动化构建工具&#xff0c;本文将介绍…

各种免费好用的api,含天气查询、IP查询、物流查询等

跨境国际快递物流查询&#xff1a;支持900物流商&#xff0c;提供实时查询和单号订阅API接口。稳定高效&#xff0c;为跨境电商平台、独立站、软件服务商提供优质服务。手机号码归属地&#xff1a;可根据手机号码查询其省市区、运营商区号行政区划代码等信息。 上亿条数据囊括最…

MySQL 的内连接、左连接、右连接有什么区别?

MySQL 的内连接、左连接、右连接有什么区别&#xff1f; 在 MySQL 中&#xff0c;内连接&#xff08;INNER JOIN&#xff09;、左连接&#xff08;LEFT JOIN 或 LEFT OUTER JOIN&#xff09;和右连接&#xff08;RIGHT JOIN 或 RIGHT OUTER JOIN&#xff09;是用于合并两个或多…

MySQL入门教程-触发器

9.触发器 什么是触发器 触发器(trigger)&#xff1a;监视某种情况&#xff0c;并进行某种操作&#xff0c;它的执行并不是程序调用&#xff0c;也不是手工启动&#xff0c;而是由事件来触发&#xff0c;例如&#xff1a;对一张表进行操作&#xff08;插入&#xff0c;更新&…

跨进程通信 macOS XPC 创建实例

一&#xff1a;简介 XPC 是 macOS 里苹果官方比较推荐和安全的的进程间通信机制。 集成流程简单&#xff0c;但是比较绕。 主要需要集成 XPC Server 这个模块&#xff0c;这个模块最终会被 apple 的根进程 launchd 管理和以独立进程的方法唤起和关闭&#xff0c; 我们主app 进…

JNPF开发平台--初体验

这一两年低代码的概念很流行&#xff0c;我也在网上了解体验了一番。 目前低代码主要分为两种&#xff0c;第一种是与云平台绑定的低代码&#xff0c;在云平台上开发&#xff0c;直接发布到云平台&#xff1b;第二种是低代码框架&#xff0c;低代码项目&#xff0c;这种比较流行…

C# 使用ZXing.Net生成二维码和条码

写在前面 条码生成是一个经常需要处理的功能&#xff0c;本文介绍一个条码处理类库&#xff0c;ZXing用Java实现的多种格式的一维二维条码图像处理库&#xff0c;而ZXing.Net是其.Net版本的实现。 在WinForm下使用该类库需要从NuGet安装两个组件&#xff1a; ZXing.Net ZXing…

当钉钉宜搭有销售单据或客户审批时,自动同步到畅捷通T+Cloud,赋能企业部门之间的业务流程自动化

1 场景描述 随着数字化转型&#xff0c;对于大规模的企业来说&#xff0c;都会选择低代码系统来搭建内部流程来提高公司的管理效率&#xff0c;例如使用钉钉宜搭作为企业的数据库&#xff0c;用来存储客户、供应商、单据等数据。也会使用畅捷通TCloud作为ERP系统解决管理财务、…

Vue - 表单输入绑定详解

Vue.js 表单输入绑定详解 在Web开发中&#xff0c;表单是用户与应用程序交互的重要方式之一。Vue.js 提供了强大的表单输入绑定机制&#xff0c;使得在处理用户输入时变得更加简洁和高效。本篇博客将深入探讨 Vue.js 中表单输入绑定的各种用法&#xff0c;包括文本输入、多行文…

type 和 interface的异同

// 使用type定义一个类型 type Person {name: string;age: number; }// 使用interface定义一个类型 interface Animal {name: string;age: number; }// 使用type定义一个函数签名 type Add (a: number, b: number) > number;// 使用interface定义一个函数签名 interface S…

【python】可变变量与不可变变量

不可变类型&#xff08;如整数和字符串&#xff09; 当您创建一个不可变对象&#xff08;如整数、字符串&#xff09;时&#xff0c;Python实际上是将这个值存储在内存中的某个位置&#xff0c;并将变量名指向这个值。例如&#xff1a; lens 10 count lens在这种情况下&…

Github 2023-12-30 开源项目日报 Top10

根据Github Trendings的统计&#xff0c;今日(2023-12-30统计)共有10个项目上榜。根据开发语言中项目的数量&#xff0c;汇总情况如下&#xff1a; 开发语言项目数量TypeScript项目4JavaScript项目2C项目1Python项目1Java项目1HTML项目1Dart项目1非开发语言项目1 令人惊叹的 …

2核2G3M服务器上传速度多少?以阿里云和腾讯云为例

2核2G3M服务器上传速度多少&#xff1f;上传是按10M带宽算&#xff0c;上传速度是1280KB/秒&#xff0c;即1.25M/秒&#xff1b;下载速度按3M带宽计算&#xff0c;下载速度是384KB/秒。本文是以阿里云为例的&#xff0c;阿里云服务器当公网带宽小于10M及10M以下时&#xff0c;上…

【51单片机系列】DS1302时钟模块扩展实验之与EEPROM结合使用只进行一次初始化工作

本文是关于时钟芯片DS1302的扩展实验。 文章目录 一、实验分析二、proteus仿真原理图三、软件设计及结果 本实验实现的目的&#xff1a;利用AT24C02掉电不丢失的功能&#xff0c;存储数据用来辨别DS1302时钟是否已经初始化&#xff0c;如果初始化就不执行DS1302初始化函数。 一…

【全网首发】洛谷P2678 [NOIP2015 提高组] 跳石头

Everyday English You don’t become what you want; you become whatyou believe. —Oprah Winfrey 你不是成为你想要的&#xff0c;你成为你所相信的。 洛谷P2678 [NOIP2015 提高组] 跳石头 题目描述 一年一度的“跳石头”比赛又要开始了&#xff01; 这项比赛将在一条笔…

arduino esp32连接阿里云物联网平台,上传和请求数据的示例代码

要在Arduino ESP32上连接到阿里云物联网平台&#xff0c;并上传和请求数据&#xff0c;您可以使用 PubSubClient 库和 WiFi.h 库来实现。以下是一个示例代码&#xff0c;演示了如何使用MQTT协议将数据上传到阿里云物联网平台&#xff0c;并从平台上请求数据。 #include <Wi…

ansible_角色的使用

本章主要介绍ansible中角色的使用 了解什么是角色独立地写一个角色使用角色系统自带角色地使用 1.了解角色 正常情况下&#xff0c;配置一个服务如 apache时&#xff0c;要做一系列的操作:安装、拷贝、启动服务等。如果要在不同的机器上重复配置此服务&#xff0c;需要重新执…

新品出击 | 软网关BLIoTLink免费发布

新品出击|软网关BLIoTLink免费发布 BLIoTLink是一款免费的物联网协议转换软件&#xff0c;可以部署在任何基于Linux OS的系统&#xff08;Linux、Debian、Ubuntu、FreeRTOS、RT-Thread&#xff09;中&#xff0c;使用灵活&#xff0c;可以实现数据的采集以及接入网络平台。 BL…