Sql注入的防范.docVIP

Sql注入的防范 方法一：运用存储过程，存储过程对传入的参数要进行类型匹配,不合法的参数是不被执行的CallableStatement?调用 方法二：参数化查询 PreparedStatement?防sql注入 应用程序指定查询结构，为用户输入的每个数据预留占位符 应用程序指定占用符的内容 Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些.?对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构. 绕过验证,但这种手段只对Statement有效,对PreparedStatement无效 |(\%3B)|(:))/i3、典型的 SQL 注入攻击的正则表达式 /\w*((\%27)|(\))((\%6F)|o|(\%4F))((\%72)|r|(\ 中国网管联盟 %52))/ix4、检测SQL注入，UNION查询关键字的正则表达式 /((\%27)|(\))union/ix(\%27)|(\) - 单引号和它的hex等值　　union - union关键字。5、检测MS SQL Server SQL注入攻击的正则表达式 /exec(\s|\+)+(s|x)p\w+/ix 方法四：字符串过滤　|and|exec|insert|select|delete|update|count|*|% 　　|chr|mid|master|truncate|char|declare|; |or|-|+|,;　 方法五：不安全字符屏蔽 　　本部分采用js来屏蔽，起的作用很小，这样用屏蔽关键字的方法虽然有一定作用，但是在实际应用中这些 SQL的关键字也可能成为真正的查询关键字，到那是被你屏蔽了那用户不是不能正常的使用了。 只要在代码规范上下点功夫就可以了。　　凡涉及到执行的SQL中有变量时，用JDBC（或者其他数据持久层）提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了.　　功能介绍：检查是否含有,\\,/?　　 方法六：合理的分配操作数据库的权限 当访问数据库时，引用程序应该尽可能的运用低权限的用户。 Sql注入的方法 利用基本的漏洞 用（ ’ ）号：分开sql语句 用（-- ）号：注释sql语句 如： 输入 cl’ or 1=1 -- select id from table where user=’cl’ or 1=1 --‘; 同select id from table where user=’cl’ or 1=1； 避开登录 这也是利用基本漏洞 如： 输入 user：cl’ or 1=1 -- password ：123 select id from table where user=’cl’ or 1=1 --‘ password=’123’; 同：select id from table where user=’cl’ or 1=1； 查明SQL注入漏洞 一般我们可以通过 URL参数（GET）、cookie、POST数据、HTTP消息头 向服务器注册sql注入 字符串数据，’ + = -- 分开和合并字符串 数字数据，（1+1） ASCII命令 注册不同的语句类型 Select语句：一般用于查询，攻击的目的是为了查询的结果。 Insert语句：新建数据时，可能有权限，攻击时可以修改权限。 Update语句：与insert类似。一般攻击的是where后的判断 Delete语句：一般攻击的是where后的判断 UNION操作符 使用union连接两个查询 为另一个查询插入值 “指纹识别”数据库 识别所用的数据库 mysql 、oracle、…… 提取有用的数据 修改url等参数传的值 /bbs?id=1; 修改其id=2 避开过滤 避免使用的被阻止的字符 使用sql注释 /* cl */ 处理屏蔽的字符串 || + conate() 连接字符串 避免简单确认 使用动态执行 利用缺陷过滤 二阶段SQL注入