防止sql注入如何防止sql注入

网站怎么防止sql注入

1 普通用户与系统管理员用户的权限要有严格的区分。

如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句，那么是否允许执行呢?由于Drop语句关系到数据库的基本对象，故要操作这个语句用户必须有相关的权限。

在权限设计中，对于终端用户，即应用软件的使用者，没有必要给他们数据库对象的建立、删除等权限。

那么即使在他们使用SQL语句中带有嵌入式的恶意代码，由于其用户权限的限制，这些代码也将无法被执行。

故应用程序在设计的时候， 2 强迫使用参数化语句。

如果在编写SQL语句的时候，用户输入的变量不是直接嵌入到SQL语句。

而是通过参数来传递这个变量的话，那么就可以有效的防治SQL注入式攻击。

也就是说，用户的输入绝对不能够直接被嵌入到SQL语句中。

与此相反，用户的输入的内容必须进行过滤，或者使用参数化的语句来传递用户输入的变量。

参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。

采用这种措施，可以杜绝大部分的SQL注入式攻击。

不过可惜的是，现在支持参数化语句的数据库引擎并不多。

不过数据库工程师在开发产品的时候要尽量采用参数化语句。

3 多多使用SQL Server数据库自带的安全参数。

为了减少注入式攻击对于SQL Server数据库的不良影响，在SQLServer数据库专门设计了相对安全的SQL参数。

在数据库设计过程中，工程师要尽量采用这些参数来杜绝恶意的SQL注入式攻击。

如在SQL Server数据库中提供了Parameters集合。

这个集合提供了类型检查和长度验证的功能。

如果管理员采用了Parameters这个集合的话，则用户输入的内容将被视为字符值而不是可执行代码。

即使用户输入的内容中含有可执行代码，则数据库也会过滤掉。

因为此时数据库只把它当作普通的字符来处理。

使用Parameters集合的另外一个优点是可以强制执行类型和长度检查，范围以外的值将触发异常。

如果用户输入的值不符合指定的类型与长度约束，就会发生异常，并报告给管理员。

如上面这个案例中，如果员工编号定义的数据类型为字符串型，长度为10个字符。

而用户输入的内容虽然也是字符类型的数据，但是其长度达到了20个字符。

则此时就会引发异常，因为用户输入的内容长度超过了数据库字段长度的限制。

4 加强对用户输入的验证。

总体来说，防治SQL注入式攻击可以采用两种方法，一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内容。

在SQLServer数据库中，有比较多的用户输入内容验证工具，可以帮助管理员来对付SQL注入式攻击。

测试字符串变量的内容，只接受所需的值。

拒绝包含二进制数据、转义序列和注释字符的输入内容。

这有助于防止脚本注入，防止某些缓冲区溢出攻击。

测试用户输入内容的大小和数据类型，强制执行适当的限制与转换。

这即有助于防止有意造成的缓冲区溢出，对于防治注入式攻击有比较明显的效果。

如可以使用存储过程来验证用户的输入。

利用存储过程可以实现对用户输入变量的过滤，如拒绝一些特殊的符号。

如以上那个恶意代码中，只要存储过程把那个分号过滤掉，那么这个恶意代码也就没有用武之地了。

在执行SQL语句之前，可以通过数据库的存储过程，来拒绝接纳一些特殊的符号。

在不影响数据库应用的前提下，应该让数据库拒绝包含以下字符的输入。

如分号分隔符，它是SQL注入式攻击的主要帮凶。

如注释分隔符。

注释只有在数据设计的时候用的到。

一般用户的查询语句中没有必要注释的内容，故可以直接把他拒绝掉，通常情况下这么做不会发生意外损失。

把以上这些特殊符号拒绝掉，那么即使在SQL语句中嵌入了恶意代码，他们也将毫无作为。

故始终通过测试类型、长度、格式和范围来验证用户输入，过滤用户输入的内容。

这是防止SQL注入式攻击的常见并且行之有效的措施。

5 多层环境如何防治SQL注入式攻击? 在多层应用环境中，用户输入的所有数据都应该在验证之后才能被允许进入到可信区域。

未通过验证过程的数据应被数据库拒绝，并向上一层返回一个错误信息。

实现多层验证。

对无目的的恶意用户采取的预防措施，对坚定的攻击者可能无效。

更好的做法是在用户界面和所有跨信任边界的后续点上验证输入。

如在客户端应用程序中验证数据可以防止简单的脚本注入。

但是，如果下一层认为其输入已通过验证，则任何可以绕过客户端的恶意用户就可以不受限制地访问系统。

故对于多层应用环境，在防止注入式攻击的时候，需要各层一起努力，在客户端与数据库端都要采用相应的措施来防治SQL语句的注入式攻击。

什么叫做sql注入，如何防止

1.sql注入一般是用在用户登录的地方. 用户登录的时候你不是查询用户名和密码是否正确吗 你传进userName和passWord到系统中,通过sql查询 String sql="select * from user where username="+userName+" and password="+passWord; sql注入就是你不管用户名和密码,只要在传的用户名或密码中加入+" or 1=1"就行了,sql就变成这样了 String sql="select * from user where username="+userName+" and password="+passWord+" or 1=1"; 你的sql中有or了,怎么写都算对了,就能登进系统中了 2.防止sql注入你可以加入占位符 String sql="select * from user where username=? and password=?"; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, passWord); ResultSet rs = preState.executeQuery(); 这样就可以了

如何防止sql注入

额，这是我老师给的答案 答：过滤一些常见的数据库操作关键字, select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤 php配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值 sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号 提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中 对于常的方法加以封装,避免直接暴漏SQL语句 开启PHP安全模式safe_mode=on 打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"'" 控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志 使用MYSQLI或PDO预处理