首页 / MYSQL / MySQL和SQL注入与防范方法

MySQL和SQL注入与防范方法

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了MySQL和SQL注入与防范方法，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2639字，纯文字阅读大概需要4分钟。

内容图文

　　所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

　　我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。

MySQL和SQL注入与防范方法 - 文章图片

　　1.以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches))
{
 $result = mysql_query("SELECT * FROM users 
       WHERE username=$matches[0]");
}
 else
{
 echo "username 输入异常";
}

　　让我们看下在没有过滤特殊字符时，出现的SQL情况：

// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");

　　以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。

　　2.在PHP中的 mysql_query() 是不允许执行多个SQL语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。

　　防止SQL注入，我们需要注意以下几个要点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。
2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

　　3.防止SQL注入

　　在脚本语言，如Perl和PHP你可以对用户输入的数据进行转义从而来防止SQL注入。

　　PHP的MySQL扩展提供了mysql_real_escape_string()函数来转义特殊的输入字符。

if (get_magic_quotes_gpc()) 
{
 $name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");

　　4.Like语句中的注入

　　like查询时，如果用户输入的值有"_"和"%"，则会出现这种情况：用户本来只是想查询"abcd_"，查询结果中却有"abcd_"、"abcde"、"abcdf"等等；用户要查询"30%"（注：百分之三十）时也会出现问题。

　　在PHP脚本中我们可以使用addcslashes()函数来处理以上情况，如下实例：

$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == \%something\_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

　　addcslashes()函数在指定的字符前添加反斜杠。

　　语法格式:

　　addcslashes(string,characters)

　　参数描述

　　string 必需。规定要检查的字符串。

　　characters 可选。规定受 addcslashes() 影响的字符或字符范围。

以上就是MySQL 和 SQL 注入与防范方法的详细内容，更多请关注Gxl网其它相关文章！

内容总结

以上是互联网集市为您收集整理的MySQL和SQL注入与防范方法全部内容，希望文章能够帮你解决MySQL和SQL注入与防范方法所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/538357.html

来源：【匿名】

【上一篇】MySQl数据库必须知道的sql语句【下一篇】用IE远程创建Mysql数据库的简易程序

更多 ►

【MySQL和SQL注入与防范方法】教程文章相关的互联网学习教程文章

php+mysql注入

SQL简单命令介绍：mysql.exe -u 用户名 -p 密码 -h ip地址show databases;查看数据库select version();php注入下的版本号use database(表名）；show tables;显示这张表的表名select * from table;insert update 等into outfile ‘路径‘ （导出数据到路径）select load_file(hex) 查看路径hex编码内容注入用到的SQL函数：version() 版本（这点很重要，决定注入方式）database() 数据库名 -->知道数据库名，然后用它...

PHP MYSQL注入攻击需要预防7个要点

1：数字型参数使用类似intval，floatval这样的方法强制过滤。 2：字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤，而不是简单的addslashes。 3：最好抛弃mysql_query这样的拼接SQL查询方式，尽可能使用PDO的prepare绑定方式。 4：使用rewrite技术隐藏真实脚本及参数的信息，通过rewrite正则也能过滤可疑的参数。 5：关闭错误提示，不给攻击者提供敏感信息：display_errors=off。 6：以日志的方式记录错误信息：l...

Mysql注入+IIS7.5解析实战【图】

本文仅为了学习交流，严禁非法使用！！！ (随笔仅为平时的学习记录，若有错误请大佬指出)(先复现一个解析漏洞和Msbuild.exe绕过某防护软件，为后面的实战做个铺垫,以下都是基本操作，大佬不要喷)1.IIS7.5解析漏洞复现先复现IIS7.5解析漏洞(搭建环境的时候忘记截图了，只截了部分入坑图，大佬博客有详细的复现步骤 https://blog.csdn.net/qq_41703976/article/details/103844644) 入坑部分(笔者搭建环境是win2008，采用的php-cgi.ex...

mysql防SQL注入搜集【代码】

SQL注入例：脚本逻辑$sql = “SELECT * FROM user WHERE userid = $_GET[userid] “;案例1：SELECT * FROM t WHERE a LIKE ‘%xxx%’ OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE ‘1=1 ‘;　案例2：SELECT * FROM t WHERE a > 0 AND b IN(497 AND (SELECT * FROM (SELECT(SLEEP(20)))a) );　案例3：SELECT * FROM t WHERE a=1 and b in (1234 ,(SELECT (CASE WHEN (5=5) THEN SLEEP(5) ELSE 5*(SELECT 5 FROM INFORMATION_SCH...

MYSQL注入天书之数据库增删改介绍【图】

Background-4 增删改函数介绍在对数据进行处理上，我们经常用到的是增删查改。接下来我们讲解一下mysql 的增删改。查就是我们上述总用到的select，这里就介绍了。增加一行数据。Insert简单举例 insert into users values(‘16‘,‘lcamry‘,‘lcamry‘);?删除 ?2.删数据:?? delete?from?表名;?? delete?from?表名?where?id=1;?? ?删除结构：?? 删数据库：drop?database?数据库名;?? 删除表：drop?table?表名;?? 删除表中的列:al...

PyMySQL基本使用以及SQL注入问题【代码】【图】

目录PyMySQL基本使用以及SQL注入问题PyMySQL基本使用SQL注入问题数据的增删改查PyMySQL基本使用以及SQL注入问题PyMySQL基本使用又是一个可以帮助我们实现用代码来操作数据库的模块，安装，导入即可然后导入即可使用# pymysql基本使用 import pymysqlconn = pymysql.connect(user='root',password='123',host='127.0.0.1',port=3306,charset='utf8',database='db3' ) cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) # 产...

11 May 18 子查询，IDE工具（navicat），pymysql模块（安装，查询，防sql注入，增删改）

11 May 18一、上节课复习select concat_ws(":",name,age,sex,post) as info from emp; # egon:male:18 二、子查询（一个问题一个问题解决）把一个查询语句用括号括起来，当做另外一条查询语句的条件去用，称为子查询 select name from emp where dep_id = (select id from dep where name="技术"); #子查询select emp.name from emp inner join dep on emp.dep_id = dep.id where dep.name="技术"; #链表 #查询平...

Mysql注入小tips --持续更新中【代码】【图】

学习Web安全好几年了，接触最多的是Sql注入，一直最不熟悉的也是Sql注入。OWASP中，Sql注入危害绝对是Top1。花了一点时间研究了下Mysql类型的注入。　　　　文章中的tips将会持续更新，先说说这些天研究的　　　　这里博主以数字类型注入类型进行讲解，字符类型同理，这里不在敖述。　　　　我们的环境:phpstudy+mysql+php　　　　　　我们的测试代码如下:<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> ...

05-navicat使用、查询练习、pymysql与sql注入【代码】

一、 Navicat软件""" 一开始学习python的时候下载python解释器然后直接在终端书写 pycharm能够更加方便快捷的帮助你书写python代码 excel word pdf我们在终端操作MySQL 也没有自动提示也无法保存等等不方便开发 Navicat内部封装了所有的操作数据库的命令用户在使用它的时候只需要鼠标点点即可完成操作无需书写sql语句 """ 安装直接百度搜索有破解版的也有非破解非破解的有试用期你如果不嫌麻烦你就用使用到期之后重新装再...

MySQL注入load_file常用路径

WINDOWS下:c:/boot.ini //查看系统版本c:/windows/php.ini //php配置信息c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码c:/winnt/php.inic:/winnt/my.inic:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码c:\Program Files\Serv-U\ServUDaemon.inic:\windows\system32\inetsrv\MetaBase.xml ...

MySQL-注释-Navicat基本使用-复杂查询练习题-解题思路-pymysql操作数据库-SQL注入-05【代码】【图】

目录mysql语句注释navicat 的基本使用特色（个人总结）与数据服务器建立连接创建&打开数据库、表创建打开修改操作表结构修改表结构查询修改操作表数据基本语句对应的操作模型 ***** 特色功能从数据库建立模型模型页面基本操作用模型设计数据库并导出结构、数据导入导出导出导入附属小功能刷新小按钮查看操作对应sql语句执行时间查看手动筛选数据练习数据准备使用SQL语句导入表结构与数据如何验证答案是否正确题目部分参考答案(只放...

MySQL防范SQL注入风险

MySQL防范SQL注入风险0、导读在MySQL里，如何识别并且避免发生SQL注入风险1、关于SQL注入互联网很危险，信息及数据安全很重要，SQL注入是最常见的入侵手段之一，其技术门槛低、成本低、收益大，颇受各层次的黑客们所青睐。一般来说，SQL注入的手法是利用各种机会将恶意SQL代码添加到程序参数中，并最终被服务器端执行，造成不良后果。例如，我们访问接口 http://imysql.com/user.php?userid=123 来根据userid获取用户信息，假设程序...

sql注入之——mysql的四大注入基本注入手法【图】

union类型的sql注入(联合查询注入)条件：页面必须有显示位判断列数： 1’ order by 3-- - 不存在返回错误判断显示位: -1’ union select 1,2,3-- - 查看数据库： -1’ union select user(),database(),version()-- - 查看数据库有哪些表 (爆数据表)table_schema=数据库名’ -1’ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’),3-- - 查看对应表有哪些列 ...

sql注入之mysql的联合查询爆破

）的结构以查询test数据库为例: 1.判断列数 union select 1,2,3,.......... 直到页面返回正常为止 2.判断当前数据库 union select database(),2,3,4,5 1的位置将会返回数据库的名字数据库名 database() 数据库版本 version() 数据库用户 user() 操作系统 @@version_compile_os 3.查询表名 union select group_concat(table_name),2,3,4,5,6 from information_schema.tables where table_schema=‘test‘ //group_concat()使...

深入了解SQL注入【图】

1 .什么是sql注入（Sql injection）？ Sql注入是一种将sql代码添加到输入参数中，传递到Sql服务器解析并执行的一种攻击手法 2. 怎么产生的？ Web开发人员无法保证所有的输入都已经过滤攻击者利用发送给Sql服务器的输入数据构造可执行的Sql代码数据库未做相应的安全配置 3.如何寻找sql漏洞？识别web应用中所有输入点了解哪些类型的请求会触发异常？（特殊字符”或）检测服务器响应中的异常 4. 如何进行SQL注入攻击？数字注入：...

MYSQL - 技术教程分类

MySQL 教程 MySQL 安装 MySQL 管理 MySQL PHP 语法 MySQL 连接 MySQL 创建数据库 MySQL 删除数据库 MySQL 选择数据库 MySQL 数据类型 MySQL 创建数据表 MySQL 删除数据表 MySQL 插入数据 MySQL 查询数据 MySQL WHERE 子句 MySQL UPDATE 更新 MySQL DELETE 语句 MySQL LIKE 子句 MySQL UNION MySQL 排序 MySQL 分组 MySQL 连接的使用 MySQL NULL 值处理 MySQL 事务 MySQL ALTER命令 MySQL 索引 MySQL 临时表 MySQL 复制表 MySQL 元数据 MySQL 序列使用 MySQL 处理重复数据 MySQL 及 SQL 注入 MySQL 导出数据 MySQL 导入数据 MySQL 函数 MySQL 运算符 mysql 全部

MYSQL - 最热教程

sql分组取最大记录方法 mysql如何设置默认值 mysql创建数据表时指定默认值教程 MySQL 5.7 的初始化操作（root初始密码...Oracle中合并数据集(多行变一行)mysql 相同内容的字段合并为一条的方法解决mysql设置时区时的错误Unknown or ...解决ubuntu下mysql的'Access denied fo...ubuntu系统中MysqlERROR1045(28000)报错...mysql数据库设置不区分大小写

首页 / MYSQL / MySQL和SQL注入与防范方法

MySQL和SQL注入与防范方法

内容导读

内容图文

内容总结

内容备注

内容手机端

【MySQL和SQL注入与防范方法】教程文章相关的互联网学习教程文章

php+mysql注入

PHP MYSQL注入攻击需要预防7个要点

Mysql注入+IIS7.5解析实战【图】

mysql防SQL注入搜集【代码】

MYSQL注入天书之数据库增删改介绍【图】

PyMySQL基本使用以及SQL注入问题【代码】【图】

11 May 18 子查询，IDE工具（navicat），pymysql模块（安装，查询，防sql注入，增删改）

Mysql注入小tips --持续更新中【代码】【图】

05-navicat使用、查询练习、pymysql与sql注入【代码】

MySQL注入load_file常用路径

MySQL-注释-Navicat基本使用-复杂查询练习题-解题思路-pymysql操作数据库-SQL注入-05【代码】【图】

MySQL防范SQL注入风险

sql注入之——mysql的四大注入基本注入手法【图】

sql注入之mysql的联合查询爆破

深入了解SQL注入【图】

MYSQL - 相关标签

MYSQL - 技术教程分类

MYSQL - 最新教程

MYSQL - 最热教程