⑴ 面試的時候,問了一個問題,什麼是 防止sql注入
我來給你解釋下吧。後台是查詢,方法是這樣的,根據你的ID查詢你自己的信息
public xxx getData(string id){
string sql='select xxx from user where id='+id;
這里執行sql,返回查詢結果集
}
就以這個方法舉例,你肯定是要傳個id,不傳方法會報錯,如果你傳個參數「1||1==1」,猜猜傳這個進去會發生什麼?沒錯 sql就變成了 select xxx from user where id=1||1==1,這樣會造成什麼結果呢,查詢出了所有的信息,違背了這個方法本來的意願,甚至於泄露了其他用戶的信息,如密碼和一些隱私吧。
這只是一例,sql注入用處太多了,不詳談
⑵ 什麼是SQL注入,如何防止SQL注入
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意)的SQL命令注入到後台資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊.x0dx0a防護x0dx0a歸納一下,主要有以下幾點:x0dx0a1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和x0dx0a雙"-"進行轉換等。x0dx0a2.永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。x0dx0a3.永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。x0dx0a4.不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。x0dx0a5.應用的異常信息應該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝x0dx0a6.sql注入的檢測方法一般採取輔助軟體或網站平台來檢測,軟體一般採用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入,XSS攻擊等。
⑶ 如何能防止sql注入
如何能防止sql注入
普通用戶與系統管理員用戶的許可權要有嚴格的區分。
如果一個普通用戶在使用查詢語句中嵌入另一個Drop Table語句,那麼是否允許執行呢?由於Drop語句關繫到資料庫的基本對象,故要操作這個語句用戶必須有相關的許可權。在許可權設計中,對於終端用戶,即應用軟體的使用者,沒有必要給他們資料庫對象的建立、刪除等許可權。那麼即使在他們使用SQL語句中帶有嵌入式的惡意代碼,由於其用戶許可權的限制,這些代碼也將無法被執行。故應用程序在設計的時候,
強迫使用參數化語句。
如果在編寫SQL語句的時候,用戶輸入的變數不是直接嵌入到SQL語句。而是通過參數來傳遞這個變數的話,那麼就可以有效的防治SQL注入式攻擊。也就是說,用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反,用戶的輸入的內容必須進行過濾,或者使用參數化的語句來傳遞用戶輸入的變數。參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL語句中。採用這種措施,可以杜絕大部分的SQL注入式攻擊。不過可惜的是,現在支持參數化語句的資料庫引擎並不多。不過資料庫工程師在開發產品的時候要盡量採用參數化語句。
多多使用SQL Server資料庫自帶的安全參數。
為了減少注入式攻擊對於SQL Server資料庫的不良影響,在SQLServer資料庫專門設計了相對安全的SQL參數。在資料庫設計過程中,工程師要盡量採用這些參數來杜絕惡意的SQL注入式攻擊。
如在SQL Server資料庫中提供了Parameters集合。這個集合提供了類型檢查和長度驗證的功能。如果管理員採用了Parameters這個集合的話,則用戶輸入的內容將被視為字元值而不是可執行代碼。即使用戶輸入的內容中含有可執行代碼,則資料庫也會過濾掉。因為此時資料庫只把它當作普通的字元來處理。使用Parameters集合的另外一個優點是可以強制執行類型和長度檢查,范圍以外的值將觸發異常。如果用戶輸入的值不符合指定的類型與長度約束,就會發生異常,並報告給管理員。如上面這個案例中,如果員工編號定義的數據類型為字元串型,長度為10個字元。而用戶輸入的內容雖然也是字元類型的數據,但是其長度達到了20個字元。則此時就會引發異常,因為用戶輸入的內容長度超過了資料庫欄位長度的限制。
加強對用戶輸入的驗證。
總體來說,防治SQL注入式攻擊可以採用兩種方法,一是加強對用戶輸入內容的檢查與驗證;二是強迫使用參數化語句來傳遞用戶輸入的內容。在SQLServer資料庫中,有比較多的用戶輸入內容驗證工具,可以幫助管理員來對付SQL注入式攻擊。測試字元串變數的內容,只接受所需的值。拒絕包含二進制數據、轉義序列和注釋字元的輸入內容。這有助於防止腳本注入,防止某些緩沖區溢出攻擊。測試用戶輸入內容的大小和數據類型,強制執行適當的限制與轉換。這即有助於防止有意造成的緩沖區溢出,對於防治注入式攻擊有比較明顯的效果。
如可以使用存儲過程來驗證用戶的輸入。利用存儲過程可以實現對用戶輸入變數的過濾,如拒絕一些特殊的符號。如以上那個惡意代碼中,只要存儲過程把那個分號過濾掉,那麼這個惡意代碼也就沒有用武之地了。在執行SQL語句之前,可以通過資料庫的存儲過程,來拒絕接納一些特殊的符號。在不影響資料庫應用的前提下,應該讓資料庫拒絕包含以下字元的輸入。如分號分隔符,它是SQL注入式攻擊的主要幫凶。如注釋分隔符。注釋只有在數據設計的時候用的到。一般用戶的查詢語句中沒有必要注釋的內容,故可以直接把他拒絕掉,通常情況下這么做不會發生意外損失。把以上這些特殊符號拒絕掉,那麼即使在SQL語句中嵌入了惡意代碼,他們也將毫無作為。
故始終通過測試類型、長度、格式和范圍來驗證用戶輸入,過濾用戶輸入的內容。這是防止SQL注入式攻擊的常見並且行之有效的措施。
多層環境如何防治SQL注入式攻擊?
在多層應用環境中,用戶輸入的所有數據都應該在驗證之後才能被允許進入到可信區域。未通過驗證過程的數據應被資料庫拒絕,並向上一層返回一個錯誤信息。實現多層驗證。對無目的的惡意用戶採取的預防措施,對堅定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的後續點上驗證輸入。如在客戶端應用程序中驗證數據可以防止簡單的腳本注入。但是,如果下一層認為其輸入已通過驗證,則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統。故對於多層應用環境,在防止注入式攻擊的時候,需要各層一起努力,在客戶端與資料庫端都要採用相應的措施來防治SQL語句的注入式攻擊。
⑷ 如何從根本上防止 SQL 注入
也許可以這樣回答你,如果能保證應用不使用「用戶輸入的字元串」來拼接成為 「向SQL 伺服器發送的SQL執行字元串」 的話,就可以從根本上防止SQL注入。
一、SQL語言的機理:
1、當前主流的幾大資料庫伺服器的數據存、取、匯總控制,都使用一種文本語句「SQL」語句。
2、當客戶端需要數據,或需要發送數據,或需要匯總數據時,都可以向資料庫發送這種標準的描述性文本,比如向資料庫發送 「select * from bas1.dbo.tab1」就是告訴資料庫,我要取「資料庫bas1」中的「tab1」表中的 所有欄位(用「*」通配來代表)的所有記錄(因為沒有加限制條件)。
二、產生SQL注入的基礎:
1、如果客戶端設計者沒有關注SQL注入方面的問題,就有可能在將用戶輸入進行拼接成SQL語句,並發送到伺服器端時,產生惡意的SQL可執行語句。
2、舉例說明:某個網頁上有個修改用戶密碼口令的功能,正常情況下下,用戶輸入原口令,與將要改成的口令,然後對用戶進行修改。用戶正常情況下輸入簡單的字串作為口令,比如「abcdef」,最終,合成向伺服器發送的語句可能為:
update UserTab set password = 'abcdef' where id=222
3、然而,有個人很淘氣,它輸入的字串為
abcdef' --
那麼,合成的發送給伺服器的語句就成了:
update UserTab set password = 'abcdef' --『 where id=222
這條句語一但發向伺服器,其結果是,所有的人的密碼都將變成 abcdef。
4、當然了,上面只是舉了一個例子,以便於你理解什麼是SQL注入。
(絕大多數應用的口令字串都是要進行加密的,所以,這個例子起僅在:
初級用戶寫的,明文存密碼,沒有注意SQL注入。這些條件合適時才起作用。)
5、同理,你可以想出很多的相關的東西,比如在修改用戶姓名的地方……
三、防止SQL注入的一些辦法:
1、客戶端接收到用戶輸入後,進行一次核查,不讓用戶輸入能產生SQL歧義的字元。比如禁止使用任何英文符號作為密碼、姓名等等。
2、盡可能減少用戶的直接字元的輸入,通配查詢,等。
⑸ 如何防止sql注入
(1)對於動態構造SQL查詢的場合,可以使用下面的技術:
第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。
第二:刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。
第三:對於用來執行查詢的資料庫帳戶,限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作,因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。
⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外,它還使得資料庫許可權可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。
⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元,那麼不要認可表單中輸入的10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。
⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。
在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然後將非法內容通過修改後的表單提交給伺服器。因此,要保證驗證操作確實已經執行,唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。
⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然後再將它與資料庫中保存的數據比較,這相當於對用戶輸入的數據進行了「消毒」處理,用戶輸入的數據不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個,非常適合於對輸入數據進行消毒處理。
⑹ 檢查提取數據的查詢所返回的記錄數量。如果程序只要求返回一個記錄,但實際返回的記錄卻超過一行,那就當作出錯處理。
---------------------------------------------------------------------------------------------------------------------------
關鍵是明白原理,其實防範很簡單的,
1.過濾SQL需要的參數中的敏感字元(注意加入忽略大小寫)
2.禁用資料庫伺服器的xp_cmdshell存儲過程,刪除相應用到的dll
3.屏蔽伺服器異常信息
⑹ 如何防止sql注入攻擊
1,避免將用戶提供的輸入直接放入SQL語句中,最好使用准備好的語句和參數化查詢,這樣更加安全。
2,不要將敏感數據保存在純文本中,加密存儲在資料庫中的私有或機密數據,這樣可以提供另一級保護,以防止攻擊者成功地排出敏感數據。
3,將資料庫用戶的功能設置為最低要求,這將限制攻擊者在設法獲取訪問許可權時可以執行的操作。
4,避免直接向用戶顯示資料庫錯誤,攻擊者可以使用這些錯誤消息來獲取有關資料庫的信息。
5,對訪問資料庫的Web應用程序使用防火牆,這樣可以為面向Web的應用程序提供保護,可以幫助識別SQL注入嘗試;根據設置,還可以幫助防止SQL注入嘗試到達應用程序。
6,定期測試與資料庫交互的Web應用程序,這樣做可以幫助捕獲可能允許SQL注入的新錯誤或回歸。
7,將資料庫更新為最新的可用修補程序,這可以防止攻擊者利用舊版本中存在的已知弱點或錯誤。
⑺ 面試的時候,問了一個問題,什麼是 防止SQL注入
情景模擬一下:
登錄的時候,黑客輸入:
賬號:"1or1=1"
密碼:"1or1=1"
這時候,你沒有做sql注入.
黑客就直接進入了你的系統了.
防sql注入,就是對用戶輸入的賬號和密碼進行過濾.過濾掉那些會對資料庫產生作用的命令關鍵字.
/**
* sql防注入
*/
public static boolean sqlEscape(String str) {
String inj_str = "':and:exec:insert:select:delete:update:count:drop:%:chr:mid:master:truncate:char:declare:;:or:+";
String inj_stra[] = inj_str.split(":");
for (int i = 0; i < inj_stra.length; i++) {
if (str.toLowerCase().indexOf(inj_stra[i]) != -1) {
return true;
}
}
return false;
}
⑻ SQL注入怎麼防範
SQL注入攻擊的危害很大,而且防火牆很難對攻擊行為進行攔截,主要的SQL注入攻擊防範方法,具體有以下幾個方面:
1、分級管理
對用戶進行分級管理,嚴格控制用戶的許可權,對於普通用戶,禁止給予資料庫建立、刪除、修改等相關許可權,只有系統管理員才具有增、刪、改、查的許可權。
2、參數傳值
程序員在書寫SQL語言時,禁止將變數直接寫入到SQL語句,必須通過設置相應的參數來傳遞相關的變數。從而抑制SQL注入。數據輸入不能直接嵌入到查詢語句中。同時要過濾輸入的內容,過濾掉不安全的輸入數據。或者採用參數傳值的方式傳遞輸入變數,這樣可以最大程度防範SQL注入攻擊。
3、基礎過濾與二次過濾
SQL注入攻擊前,入侵者通過修改參數提交and等特殊字元,判斷是否存在漏洞,然後通過select、update等各種字元編寫SQL注入語句。因此防範SQL注入要對用戶輸入進行檢查,確保數據輸入的安全性,在具體檢查輸入或提交的變數時,對於單引號、雙引號、冒號等字元進行轉換或者過濾,從而有效防止SQL注入。
當然危險字元有很多,在獲取用戶輸入提交參數時,首先要進行基礎過濾,然後根據程序的功能及用戶輸入的可能性進行二次過濾,以確保系統的安全性。
4、使用安全參數
SQL資料庫為了有效抑制SQL注入攻擊的影響。在進行SQLServer資料庫設計時設置了專門的SQL安全參數。在程序編寫時應盡量使用安全參數來杜絕注入式攻擊,從而確保系統的安全性。
5、漏洞掃描
為了更有效地防範SQL注入攻擊,作為系統管理除了設置有效的防範措施,更應該及時發現系統存在SQL攻擊安全漏洞。系統管理員可以采購一些SQL漏洞掃描工具,通過專業的掃描工具,可以及時的掃描到系統存在的相應漏洞。
6、多層驗證
現在的網站系統功能越來越龐大復雜。為確保系統的安全,訪問者的數據輸入必須經過嚴格的驗證才能進入系統,驗證沒通過的輸入直接被拒絕訪問資料庫,並且向上層系統發出錯誤提示信息。同時在客戶端訪問程序中驗證訪問者的相關輸入信息,從而更有效的防止簡單的SQL注入。但是如果多層驗證中的下層如果驗證數據通過,那麼繞過客戶端的攻擊者就能夠隨意訪問系統。因此在進行多層驗證時,要每個層次相互配合,只有在客戶端和系統端都進行有效的驗證防護,才能更好地防範SQL注入攻擊。
7、資料庫信息加密
傳統的加解密方法大致分為三種:對稱加密、非對稱加密、不可逆加密。
⑼ 面試的時候,問了一個問題,什麼是 防止SQL注入
簡單回答:防止——利用即有的應用、功能,將(惡意)SQL命令發送到到後台資料庫引擎。
----------詳述,及關鍵要點,有耐心可以看一看--------
-------(下面的論述,要看懂需要有基本的SQL資料庫編程和操作知識,本人實際經驗,僅供參考)------
1、SQL語言在當前主要用於資料庫管理系統軟體中,進行數據查詢、分析、匯總等等,但一些高級別的資料庫管理系統還存在一些非常高級的能力,可以以向它發送SQL指令的方法讓它干一些特別的事,甚至出格的事,比如起動某個應用程序等,具體的能力視「資料庫管理系統」(也稱「資料庫引擎」)而定。一些通用的資料庫指令有時也能幹出一些出格的事,比如創建用戶、修改用戶(特別是管理員用戶)基礎信息(比如密碼)等。
2、其實,一般而言,絕大多數沒有學過電腦與資料庫的人是不懂得SQL語言的。也就是說,一般的客戶端使用者總是按設計者的預設以點擊或輸入常規信息的方法來與電腦進行交互,進而將數據傳給客戶端,客戶端合成SQL指令後向「資料庫引擎」獲取或提交數據。
3、但是因為SQL指令是一種純文本的字串,在某些特定情況下,操作者輸入的字串經客戶端合成後,會異化成能讓「資料庫引擎」誤讀的指令。
4、舉個簡單的例子進行說明吧:
----**********************-----
A、設計者預先的設計,用戶輸入條件,'其他費用'(或別的字串),就查出 ABA02欄位 中值為『其它費用』(或別的字串)的數據。預期合成後發向伺服器的字串為:
SELECT*FROMABA1A
WHEREABA02='其他費用'
B、但是,輸入者並不按預期的輸入,而是輸入可以合成惡意SQL語句的字串,那麼,我們來看看會發生什麼事。
合成SQL的代碼一般是:
"SELECT*FROMABA1AWHEREABA02='"+用戶輸入字串+"'"
現在用戶輸入
"其他費用';DELETE[!AY_LS]WHERE'0'='0"
代入上一行,變成:
"SELECT*FROMABA1AWHEREABA02='"+"其他費用';DELETE[!AY_LS]WHERE'0'='0"+"'"
最終合成的SQL字串就是:
SELECT*FROMABA1AWHEREABA02
='其他費用';DELETE[LSTAB]WHERE'0'='0'
能看懂SQL的人就明白了,這個字串如果發向「資料庫引擎」,結果是,查出數據之外,還將LSTAB這個數據表中所有的數據進行了刪除,這根本不是設計者預先所需要的。
----**********************-----
5、更多的相關的發揮你可以自個去想,有的SQL語句利用「資料庫引擎」的能力可以產生相當可怕的後果。產生這種「SQL注入」的可能,是因為設計者沒有客戶輸入後,合成SQL語句時,可能有「SQL注入」進行猜測與預想。另一方面,「SQL注入」的實現往往需要客戶對SQL資料庫有相當的了解。
6、防止SQL注入最基本的要點就是,破壞用戶的輸入可能合成有效的SQL語句的可能。做法有很多,比如限制輸入的長度,限制輸入特定的字元,對用戶輸入的數據進行預檢,不讓用戶自由輸入,只能輸入關鍵詞並轉碼為特定數值,等等。
7、最常規的,違范的做法就是,不讓用戶自由輸入條件字串,只能輸入特定的條件,這是防SQL注入的最好辦法。實在需要自由輸入的情況下,一定要做預判,不讓自由輸入的字串能合成有效SQL語句。比如,最簡單的禁止中存在「空格」這樣,就無法合成有效的無錯的SQL語句了,等等!
8、「SQL注入」不但在網頁輸入中可能存在,在其它的,只要涉及用戶輸入與「資料庫引擎」的情況下,都可能存在!另外,網頁提交中,有些非常規的方法可以繞過正常的方式輸入,比如直接在瀏覽器網址處輸入特定字串,以直接post數據等。
⑽ 怎樣防止sql注入
可以使用變數綁定的方式就可以防止sql注入,如果是直接拼接的方式那麼就非常容易被注入。比如:select * from tablename where user='admin' and pwd ='123' 假設說這個是一個登錄的sql語句,admin是用戶文本框輸入的,pwd是密碼框輸入的。如果密碼文本框如果輸入:' or '1'='1 那麼拼接起sql就是select * from tablename where user='admin' and pwd ='' or '1'='1' 那麼就會跳過sql的條件就直接進入登錄,但是如果是使用綁定變數的就不一樣
如下:
select * from tablename where user=@user and pwd =@pwd
@user=admin
@pwd=123
這樣的話不管user和pwd傳入的是什麼內容都被sql server識別成字元串而不是直接拼接在sql 語句上。