預處理防止sql注入

『壹』 sql注入如何防止

1、使用參數化篩選語句

為了防止SQL注入，用戶輸入不能直接嵌入到SQL語句中。相反，用戶輸入必須被過濾或參數化。參數語句使用參數，而不是將用戶輸入嵌入語句中。在大多數情況下，SQL語句是正確的。然後，用戶輸入僅限於一個參數。

一般來說，有兩種方法可以確保應用程序不易受到SQL注入攻擊。一種是使用代碼審查，另一種是強制使用參數化語句。強制使用參數化語句意味著在運行時將拒絕嵌入用戶輸入中的SQL語句。但是，目前對此功能的支持不多。

2、避免使用解釋程序，這是黑 客用來執行非法命令的手段。

3、防止SQL注入，但也避免一些詳細的錯誤消息，因為黑客可以使用這些消息。標準的輸入驗證機制用於驗證所有輸入數據的長度、類型、語句和企業規則。

4、使用漏洞掃描工具。

但是，防範SQL注入攻擊是不夠的。攻擊者現在自動搜索和攻擊目標。它的技術甚至可以很容易地應用於其他Web體系結構中的漏洞。企業應該投資於專業的漏洞掃描工具，如著名的Accunetix網路漏洞掃描程序。完美的漏洞掃描器不同於網路掃描器，它專門在網站上查找SQL注入漏洞。最新的漏洞掃描程序可以找到最新發現的漏洞。

5、最後，做好代碼審計和安全測試。

『貳』 ThinkPHP如何防止SQL注入

（1）查詢條件盡量使用數組方式，這是更為安全的方式；
（2）如果不得已必須使用字元串查詢條件，使用預處理機制；
（3）使用綁定參數；
（4）強制進行欄位類型驗證，可以對數值數據類型做強制轉換；
（5）使用自動驗證和自動完成機制進行針對應用的自定義過濾；
（6）使用欄位類型檢查、自動驗證和自動完成機制等避免惡意數據的輸入；
（7）做一些過濾。

『叄』 如何防範SQL注入漏洞及檢測

以下是OMG我為大家收集整理的文章，希望對大家有所幫助。

SQL注入(SQLInjection)漏洞攻擊是目前網上最流行最熱門的黑客腳本攻擊方法之一，那什麼是SQL注入漏洞攻擊呢?它是指黑客利用一些Web應用程序(如：網站、論壇、留言本、文章發布系統等)中某些存在不安全代碼或SQL語句不縝密的頁面，精心構造SQL語句，把非法的SQL語句指令轉譯到系統實際SQL語句中並執行它，以獲取用戶名、口令等敏感信息，從而達到控制主機伺服器的攻擊方法。

1. SQL注入漏洞攻擊原理

1. 1 SQL注入漏洞攻擊實現原理

SQL(Structured Query Language)是一種用來和資料庫交互的語言文本。SQL注入的攻擊原理就是攻擊者通過Web應用程序利用SQL語句或字元串將非法的數據插入到伺服器端資料庫中，獲取資料庫的管理用戶許可權，然後將資料庫管理用戶許可權提升至操作系統管理用戶許可權，控制伺服器操作系統，獲取重要信息及機密文件。

SQL注入漏洞攻擊主要是通過藉助於HDSI、NBSI和Domain等SQL注入漏洞掃描工具掃描出Web頁面中存在的SQL注入漏洞，從而定位SQL注入點，通過執行非法的SQL語句或字元串達到入侵者想要的操作。下面以一段身份驗證的.NET代碼為例，說明一下SQL 注入攻擊的實現方法。

SqlConnectionnwConn = new SqlConnection((string)ConfigurationSettings.AppSettings["DBconnStrings"]); string queryStr = "SELECT userid,userpwd, username,type FROM users where userid='" + Txtusername.Text +"'";

DataSet userSet = new DataSet();

SqlDataAdapter userAdapter = newSqlDataAdapter(queryStr, nwConn);

userAdapter.Fill(userSet, "Users");

Session["UserID"] =Txtusername.Text.ToString();

Session["type"] =type.Text.ToString();

Response.Redirect("/Myweb/admin/login.aspx");

從上面的代碼中可以看出,程序在與資料庫建立連接得到用戶數據之後,直接將username的值通過session傳給login.aspx，沒有進行任何的過濾和處理措施, 直接用來構造SQL 語句, 其危險系數是非常高的, 攻擊者只要根據SQL 語句的編寫規則就可以繞過身份驗證，從而達到入侵的目的。

1. 2 SQL注入漏洞攻擊分析

SQL注入可以說是一種漏洞，也可以說是一種攻擊。當程序中的變數處理不當，沒有對用戶提交的數據類型進行校驗，編寫不安全的代碼，構造非法的SQL語句或字元串，都可能產生這個漏洞。

例如Web系統有一個login頁面，這個login頁面控制著用戶是否有權訪問，要求用戶輸入一個用戶名和口令，連接資料庫的語句為：

“select * from users where username = 'username' andpassword = 'password'”

攻擊者輸入用戶名為aa or 1=1口令為1234 or 1=1之類的內容。我們可以看出實際上攻擊者並不知道真正的用戶名、口令，該內容提交給伺服器之後，伺服器執行攻擊者構造出的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：

“select * from users where username = 'aa' or 1=1 andpassword = '1234' or 1=1”

伺服器執行查詢或存儲過程，將用戶輸入的身份信息和資料庫users表中真實的身份信息進行核對，由於SQL命令實際上已被修改，存在永遠成立的1=1條件，因此已經不能真正驗證用戶身份，所以系統會錯誤地授權攻擊者訪問。

SQL 注入是通過目標伺服器的80埠進行的，是正常的Web訪問，防火牆不會對這種攻擊發出警告或攔截。當Web伺服器以普通用戶的身份訪問資料庫時，利用SQL注入漏洞就可能進行創建、刪除、修改資料庫中所有數據的非法操作。而當資料庫以管理用戶許可權的身份進行登錄時，就可能控制整個資料庫伺服器。

SQL注入的方法很多，在以手動方式進行攻擊時需要構造各種各樣的SQL語句，所以一般攻擊者需要豐富的經驗和耐心，才能繞過檢測和處理，提交語句，從而獲得想要的有用信息。這個過程需要花費很多的時間，如果以這種手動方式進行SQL注入漏洞攻擊，許多存在SQL注入漏洞的ASP、JSP、PHP、JAVA等網站就會安全很多了，不是漏洞不存在了，而是手動入侵者需要編程基礎，但現在攻擊者可以利用一些現成的黑客工具來輔助SQL注入漏洞攻擊，加快入侵的速度，使SQL注入變得輕而易舉。

由於SQL注入漏洞攻擊利用的是通用的SQL語法，使得這種攻擊具有廣泛性。理論上說，對於所有基於SQL語言的資料庫管理系統都是有效的，包括MSSQLServer、Oracle、DB2、Sybase和MySQL等。當然，各種系統自身的SQL擴展功能會有所不同，因此最終的攻擊代碼可能不盡相同。

1. 3 SQL注入漏洞攻擊過程

(1)繞過身份驗證

如一個login界面，需要輸入用戶名和口令，然後Post到另一個頁面，進行身份驗證,因此攻擊者只需在用戶名和口令的輸入框中都輸入aa or’1’=’1’的內容，那麼攻擊者就可以通過欺騙的驗證方式而直接進入下一個頁面，並擁有和正常登錄用戶一樣的全部特權。原因是什麼呢? 我們比較一下正常用戶登錄和攻擊者登錄時的兩種SQL語句：

1)正常用戶(如用戶名為admin，口令為1234567) ：

SQL= " selectfrom users where username = ’admin’and password= ’1234567’ ";

2)攻擊者(用戶名和口令都為aa or’1’=’1’) ：

SQL= " select * from users where username='aa or’1’=’1’'and password = ' aa or’1’=’1’'";

可以看到由and連接的兩個條件都被一個永遠成立的1=1所代替，執行的結果為true，資料庫會認為條件恆成立，會返回一個true，讓攻擊者以合法身份登錄進入下一個頁面。

(2)執行非法操作

如一個查詢頁面select1.asp? id=1，編程人員原本設計意圖是顯示id為1的查詢信息，而攻擊者利用程序中沒有對id內容進行檢查的機制，插入自己的代碼。

從select1.asp中摘錄一段關鍵代碼：

SQL= " select *from photo where photoid= 'id'";

可以看到，id沒有進行任何的處理，直接構成SQL語句並執行，而攻擊者在知道該系統資料庫中表名及欄位名的情況下，利用SQL語句特性(分號是將兩句SQL 語句分開的符號)，直接向資料庫Tuser表中添加記錄：

select1.asp? id= 1;Insertinto Tuser (username,password,type) values ('hack','1234567','管理員')，然後攻擊者就可以直接用hack進行登錄了。通過這樣的方法，攻擊者還可以對系統做任何的事情，包括添加、刪除、修改系統資源的操作。

(3)執行系統命令

如果Web主機使用MSSQL資料庫管理系統，那麼攻擊者就可以用到xp_cmdshell這個擴展存儲過程，xp_cmdshell是一個非常有用的擴展存儲過程，用於執行系統命令，比如dir、net等，攻擊者可以根據程序的不同，提交不同的語句：

execmaster.dbo.xp_cmdshell " dir "; exec master.dbo.xp_cmdshell" net user hack 1234567 /add ";

execmaster.dbo.xp_cmdshell " net localgroup administrators hack /add ";

這樣就可以向Web主機系統中成功添加了一個管理員帳戶。

2. SQL注入漏洞攻擊的檢測方式及方法

2. 1檢測方式

SQL注入漏洞攻擊檢測分為入侵前的檢測和入侵後的檢測。入侵前的檢測，可以通過手工方式，也可以使用SQL注入漏洞掃描工具軟體。檢測的目的是為預防SQL注入漏洞攻擊，而對於SQL注入漏洞攻擊後的檢測，主要是針對審計日誌的查看，SQL注入漏洞攻擊成功後，會在Web Service和資料庫的審計日誌中留下“痕跡”。

2. 2檢測方法

(1)動態SQL檢查

動態的SQL語句是一個進行資料庫查詢的強大的工具，但把它和用戶輸入混合在一起就使SQL注入成為了可能。將動態的SQL語句替換成預編譯的SQL或者存儲過程對大多數應用程序是可行的。預編譯的SQL或者存儲過程可以將用戶的輸入作為參數而不是命令來執行，這樣就限制了入侵者的行動。當然，它不適用於存儲過程中利用用戶輸入來生成SQL命令的情況。在這種情況下，用戶輸入的SQL命令仍可能得到執行，資料庫仍然存在SQL注入漏洞攻擊的危險。

(2)有效性校驗

如果一個輸入框只可能包括數字，那麼要通過驗證確保用戶輸入的都是數字。如果可以接受字母，檢查是不是存在不可接受的字元，那就需要設置字元串檢查功能。確保應用程序要檢查以下字元：分號、等號、破折號、括弧以及SQL關鍵字。

(3)數據表檢查

使用SQL注入漏洞攻擊工具軟體進行SQL注入漏洞攻擊後，都會在資料庫中生成一些臨時表。通過查看資料庫中最近新建的表的結構和內容，可以判斷是否曾經發生過SQL注入漏洞攻擊。

(4)審計日誌檢查

在Web伺服器中如果啟用了審計日誌功能，則Web Service審計日誌會記錄訪問者的IP地址、訪問時間、訪問文件等信息，SQL注入漏洞攻擊往往會大量訪問某一個頁面文件(存在SQL注入點的動態網頁)，審計日誌文件會急劇增加，通過查看審計日誌文件的大小以及審計日誌文件中的內容，可以判斷是否發生過SQL注入漏洞攻擊事件;另外還可以通過查看資料庫審計日誌，查詢某個時間段是否有非法的插入、修改、刪除操作。

(5)其他

SQL注入漏洞攻擊成功後，入侵者往往會添加特權用戶(如：administrator、root、sa等)、開放非法的遠程服務以及安裝木馬後門程序等，可以通過查看用戶帳戶列表、遠程服務開啟情況、系統最近日期產生的一些文件等信息來判斷是否發生過入侵。

3. SQL注入漏洞防範措施

SQL注入漏洞攻擊的防範方法有很多種，現階段總結起來有以下方法：

(1)數據有效性校驗。如果一個輸入框只可能包括數字，那麼要通過校驗確保用戶輸入的都是數字。如果可以接受字母，那就要檢查是不是存在不可接受的字元，最好的方法是增加字元復雜度自動驗證功能。確保應用程序要檢查以下字元：分號、等號、破折號、括弧以及SQL關鍵字。另外限製表單數據輸入和查詢字元串輸入的長度也是一個好方法。如果用戶的登錄名最多隻有10個字元，那麼不要認可表單中輸入10個以上的字元，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

(2)封裝數據信息。對客戶端提交的數據進行封裝，不要將數據直接存入cookie中，方法就是在編程的代碼中，插入session、if、try、else，這樣可以有效地防止攻擊者獲取cookie中的重要信息。

(3)去除代碼中的敏感信息。將在代碼中存在的用戶名、口令信息等敏感欄位刪除，替換成輸入框。

SQL=" select from users where username = ’admin’and password= ’1234567’ "

如：這樣顯然會暴露管理員的用戶名、口令信息。可以將其修改成：

SQL= " select * from users where username='" +Txtuser.Text + "' and userpwd='" + Textpwd.Text + "'"

這樣就安全了很多，入侵者也是不會輕易的就獲取到用戶名、口令信息。

(4)替換或刪除單引號。使用雙引號替換掉所有用戶輸入的單引號，這個簡單的預防措施將在很大程度上預防SQL注入漏洞攻擊，單引號時常會無法約束插入數據的Value，可能給予輸入者不必要的許可權。用雙引號替換掉單引號可以使大部分SQL注入漏洞攻擊失敗。 如：

“select* from users where username='" + admin + "' and userpwd='" + 1234567+ "'”

顯然會得到與

“select * from users where username='admin' and password= '1234567'”

相同的結果。

(5)指定錯誤返回頁面。攻擊者有時從客戶端嘗試提交有害代碼和攻擊字元串，根據Web Service給出的錯誤提示信息來收集程序及伺服器的信息，從而獲取想得到的資料。應在Web Service中指定一個不包含任何信息的錯誤提示頁面。

(6)限制SQL字元串連接的配置文件。使用SQL變數，因為變數不是可以執行的腳本，即在Web頁面中將連接資料庫的SQL字元串替換成指定的Value，然後將Web.config文件進行加密，拒絕訪問。

(7)設置Web目錄的訪問許可權。將虛擬站點的文件目錄禁止遊客用戶(如：Guest用戶等)訪問，將User用戶許可權修改成只讀許可權，切勿將管理許可權的用戶添加到訪問列表。

(8)最小服務原則。Web伺服器應以最小許可權進行配置，只提供Web服務，這樣可以有效地阻止系統的危險命令，如ftp、cmd、vbscript等。

(9)鑒別信息加密存儲。將保存在資料庫users表中的用戶名、口令信息以密文形式保存，也可以對users表進行加密處理，這樣可以大大增加對鑒別信息訪問的安全級別。

(10)用戶許可權分離。應盡可能的禁止或刪除資料庫中sa許可權用戶的訪問，對不同的資料庫劃分不同的用戶許可權，這樣不同的用戶只能對授權給自己的資料庫執行查詢、插入、更新、刪除操作，就可以防止不同用戶對非授權的資料庫進行訪問。

4. 結束語

SQL注入漏洞攻擊在網上非常普遍，許多ASP、PHP論壇和文章管理系統、下載系統以及新聞系統都存在這個漏洞。造成SQL注入漏洞攻擊的主要原因是開發人員在系統開發的過程中編程不規范，沒有形成良好的編程習慣，問題的解決只有依賴於規范編程。此外，也可以使用現有的SQL注入漏洞掃描器對整個網站中的關鍵代碼進行掃描，查找網站頁面中存在的SQL注入點。對於有問題的頁面，可以及時刪除或更新。本文通過對SQL注入漏洞攻擊的方法、原理以及攻擊實施過程進行了闡述和總結，並給出了一些常見的SQL注入漏洞攻擊防範的方法。

『肆』 java中預處理PrepareStatement為什麼能起到防止SQL注入的作用

PreparedStatement對SQL進行了預編譯，屏蔽了sql關鍵字，因此當傳入的參數包含有sql關鍵字時PreparedStatement就會把這些關鍵字認為是否非法的，從而起到防止sql注入的目的

『伍』 一上，為什麼說Mysql預處理可以防止SQL注入

簡單點理解：prepareStatement會形成參數化的查詢，例如：

1

select * from A where tablename.id = ?

傳入參數'1;select * from B'如果不經過prepareStatement，會形成下面語句：

1

select * from A where tablename.id = 1;select * from B

這樣等於兩次執行，但如果經過預處理，會是這樣：

1

select * from A where tablename.id = '1;select * from B'

'1;select * from B'只是一個參數，不會改變原來的語法

『陸』 請教關於php中使用pdo進行mysql語句的預處理來防止注入的問題

$pdo=newPDO(//配置);
$sql='=:condition';
$r=$pdo->prepare($sql);
$r->execute(array(':condition'=>$param));

//這里把參數直接以數組的形式傳進去，其餘工作prepare會自動幫你完成
//prepare的工作就是預先處理sql語句預防可能出現的注入，不然怎麼會叫預處理呢

『柒』 java中預處理PrepareStatement為什麼能起到防止SQL注入的作用

不使用這個，我們一般做查詢或更新的條件，是用字元串拼起來的，例如

Stringid=(String)request.getAttribute("id");//假設頁面上傳了一個id值過來
StringSQL="SELECTID,NAMEFROMUSERWHEREID='"+id+"'";//拼接成一個完整的sql語句

但是這樣帶來了一個風險，因為id是界面上客戶輸入的，所以如果沒有進入校驗，有人輸入了一個aa' or '1'='1 把這個值代入到上面的sql語句裡面，sql語句就變成了

SELECTID,NAMEFROMUSERWHEREID='aa'or'1'='1'

這樣就能查到所有的數據了，也就是SQL注入

但是，如果用preparedstatement的話，就沒有這個問題

StringSQL="SELECTID,NAMEFROMUSERWHEREID=?"

然後再將值set進去，如果值裡面有引號等字元時，會自動的啟用轉義，不會破壞這個SQL語句的結果，也就不會造成SQL注入了

『捌』 SQL注入怎麼防範

SQL注入攻擊的危害很大，而且防火牆很難對攻擊行為進行攔截，主要的SQL注入攻擊防範方法，具體有以下幾個方面：
1、分級管理
對用戶進行分級管理，嚴格控制用戶的許可權，對於普通用戶，禁止給予資料庫建立、刪除、修改等相關許可權，只有系統管理員才具有增、刪、改、查的許可權。
2、參數傳值
程序員在書寫SQL語言時，禁止將變數直接寫入到SQL語句，必須通過設置相應的參數來傳遞相關的變數。從而抑制SQL注入。數據輸入不能直接嵌入到查詢語句中。同時要過濾輸入的內容，過濾掉不安全的輸入數據。或者採用參數傳值的方式傳遞輸入變數，這樣可以最大程度防範SQL注入攻擊。
3、基礎過濾與二次過濾
SQL注入攻擊前，入侵者通過修改參數提交and等特殊字元，判斷是否存在漏洞，然後通過select、update等各種字元編寫SQL注入語句。因此防範SQL注入要對用戶輸入進行檢查，確保數據輸入的安全性，在具體檢查輸入或提交的變數時，對於單引號、雙引號、冒號等字元進行轉換或者過濾，從而有效防止SQL注入。
當然危險字元有很多，在獲取用戶輸入提交參數時，首先要進行基礎過濾，然後根據程序的功能及用戶輸入的可能性進行二次過濾，以確保系統的安全性。
4、使用安全參數
SQL資料庫為了有效抑制SQL注入攻擊的影響。在進行SQLServer資料庫設計時設置了專門的SQL安全參數。在程序編寫時應盡量使用安全參數來杜絕注入式攻擊，從而確保系統的安全性。
5、漏洞掃描
為了更有效地防範SQL注入攻擊，作為系統管理除了設置有效的防範措施，更應該及時發現系統存在SQL攻擊安全漏洞。系統管理員可以采購一些SQL漏洞掃描工具，通過專業的掃描工具，可以及時的掃描到系統存在的相應漏洞。
6、多層驗證
現在的網站系統功能越來越龐大復雜。為確保系統的安全，訪問者的數據輸入必須經過嚴格的驗證才能進入系統，驗證沒通過的輸入直接被拒絕訪問資料庫，並且向上層系統發出錯誤提示信息。同時在客戶端訪問程序中驗證訪問者的相關輸入信息，從而更有效的防止簡單的SQL注入。但是如果多層驗證中的下層如果驗證數據通過，那麼繞過客戶端的攻擊者就能夠隨意訪問系統。因此在進行多層驗證時，要每個層次相互配合，只有在客戶端和系統端都進行有效的驗證防護，才能更好地防範SQL注入攻擊。
7、資料庫信息加密
傳統的加解密方法大致分為三種：對稱加密、非對稱加密、不可逆加密。

『玖』 php中防止SQL注入，該如何解決

防sql注入的一個簡單方法就是使用框架，一般成熟框架中會集成各種安全措施。

當然也可以自己處理，如果用戶的輸入能直接插入到SQL語句中，那麼這個應用就易收到SQL注入的攻擊。我認為最重要的一點，就是要對數據類型進行檢查和轉義。

php.ini

------------

display_errors 選項，應該設為display_errors = off。這樣 php 腳本出錯之後，不會在 web 頁面輸出錯誤，以免讓攻擊者分析出有作的信息。

打開magic_quotes_gpc來防止SQL注入，magic_quotes_gpc= Off，這個默認是關閉的，如果它打開後將自動把用戶提交對sql的查詢進行轉換，比如把 ' 轉為 '等，對於防止sql注射有重大作用。如果magic_quotes_gpc=Off，則使用addslashes()函數。

mysql 函數

---------------

調用mysql_query 等mysql 函數時，前面應該加上 @，即 @mysql_query(...)，這樣 mysql 錯誤不會被輸出。同理以免讓攻擊者分析出有用的信息。另外，有些程序員在做開發時，當mysql_query出錯時，習慣輸出錯誤以及sql 語句。

mysql_real_escape_string -- 轉義 SQL 語句中使用的字元串中的特殊字元，並考慮到連接的當前字元集。

Sql語句

------------

對提交的 sql 語句，進行轉義和類型檢查。如果請求是數值型，那麼調用is_numeric() 判斷是否為數值。如果不是，則返回程序指定的默認值。簡單起見，對於文本串，我將用戶輸入的所有危險字元（包括HTML代碼），全部轉義。由於php 函數addslashes()存在漏洞，我用str_replace()直接替換。get_magic_quotes_gpc()函數是php 的函數，用來判斷magic_quotes_gpc 選項是否打開。

其它

---------

使用預處理語句和參數化查詢（PDO或mysqli）。預處理語句和參數分別發送到資料庫伺服器進行解析，參數將會被當作普通字元處理。這種方式使得攻擊者無法注入惡意的SQL。

『拾』 什麼是sql注入，怎麼防止注入

sql注入其實就是在這些不安全控制項內輸入sql或其他資料庫的一些語句，從而達到欺騙伺服器執行惡意到嗎影響到資料庫的數據。防止sql注入，可以在接受不安全空間的內容時過濾掉接受字元串內的「'」，那麼他不再是一條sql語句，而是一個類似sql語句的zifuc，執行後也不會對資料庫有破壞。

如：

username = request("username") //獲取用戶名 這里是通過URL傳值獲取的。

password = request("password") //獲取密碼 也是通過URL傳值獲取的。

sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某個人知道某個用戶名是admin,常常有人網站的管理員用戶名就是admin,這是密碼可以選用'or 1 or ',

那麼sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，顯然1是恆真的，那麼驗證密碼就通過了。

防止的方式比較多，比如可以限制username,password中出現"'"這些字元，一般網站都是只允許數字，字元，下劃線的組合，這可以通過javascript驗證。也可以採取用存儲過程代替sql拼接，等等。