SQL注入的问题
首先,SQL语句应该考虑哪些安全性?
第一,防止SQL注入,对特殊字符进行过滤、转义或者使用预编译的SQL语句绑定变量。
第二,当SQL语句运行出错时,不要把数据库返回的错误信息全部显示给用户,以防止泄露服务器和数据库相关信息。
其次,什么叫做SQL注入呢,如何防止呢?
举个例子:
你后台写的Java代码拼的SQL如下:
1 //该ename为前台传过来的一个查询条件
2 public List getInfo(String ename){
3 StringBuffer buf = new StringBuffer();
4 buf.append("select empno,ename,deptno from emp where ename = "").append(ename).append("");
5 ...
6 ...
7 }
而前台页面有输入框如下:
职员姓名:
该文本域对应上面方法的ename参数。
如果用户在查询时向职员姓名文本域中输入的是如下信息:
'or'1'='1
那么这时就会涉及到SQL注入这个概念了。
上面的字符串传到后台后,与其他select等字符串拼成了如下的语句:
select empno,ename,deptno from emp where ename=" or '1'='1'
上面的where条件是永远成立的,如果你的表中有权限限制,比如只能查询本地市的信息,过滤条件中有地市过滤,不过因为输入'or'1'='1字符串后,条件永远成立,导致你能看到所有城市的职员信息,那就会产生权限问题了,用户能看到不该看到的信息。同理,如果是insert或者update等语句的话,通过SQL诸如会产生不可估量的问题。
这种不安全的情况是在SQL语句在拼接的情况下发生。
解决方法:
1、参数绑定。为了防范这样“SQL注入安全”可以用预编译(不要用拼接SQL字符串,可以用prepareStatement,参数用set方法进行填装)。
1 String sql="insert into userlogin values(?,?)";
2 try{
3 PrepareStatement ps = conn.prepareStatement(sql);
4 for(int i=1;i<100;i++){
5 ps.setInt(1,i);
6 ps.setInt(2,8888);
7 ps.executeUpdate();
8 }
9 ps.close();
10 conn.close();
11 }catch(SQLException e){
12 e.printStackTrace();
13 }
2、检查变量的数据类型和格式
如果你的SQL语句市类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在SQL语句执行前,应该严格固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。
比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的命名规则,比如5-20个字符,只能由大小写字母、数据以及一些安全的符号组成,不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许客户提交任意字符串的场景,这就需要采用过滤等其他方案了。(使用正则表达式进行格式验证!)
3、所有的SQL语句都封装在存储过程中
所有的SQL语句都封装在存储过程中,这样不但可以避免SQL注入,还能提高一些性能。
原文地址:https://www.cnblogs.com/HuiH/p/12559047.html
- “妈妈”域名Mommy.com66万高价易主 现已建站
- 脸书Messenger已中招,新的加密货币挖矿病毒出现!
- Linux中MySQL配置文件my.cnf参数优化
- 干货,比较全面的c#.net公共帮助类(Common.Utility)
- Linux中如何恢复rm命令误删除的文件之extundelete编译安装及使用
- JDK1.7 安装加(一劳永逸的环境配置)
- Jquery 遍历数组之$().each方法与$.each()方法介绍
- ExtJs学习笔记(2)_Basic GridPanel[基本网格]
- Jquery 遍历数组之grep()方法介绍
- ExtJs学习笔记(1)_Hello World!
- Jquery filter()方法简介
- 加拿大滑铁卢大学刘腾博士:平行增强学习及其无人驾驶应用
- 曾六位数被秒的yadea.com 终端真是雅迪!
- 2018年IT行业必须面对的7个改变
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法