SQL注入

最新推荐文章于 2024-04-11 16:48:36 发布
原创 最新推荐文章于 2024-04-11 16:48:36 发布 · 4k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

初次接触sql注入

执行sql语句时,字符串拼接与使用预处理的区别

初学者在学sql语句时常常用到这个字符串的拼接。但是我们在项目中使用这个字符串的拼接会导致不安全。别人可以通过sql语句注入的方式恶意破坏你的系统。这个时候就是使用预处理。

* 预处理的好处*

查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。

传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)。
1. 查询只需要被解析(货准备)一次,但可以使用相同或不同的参数执行多次。
2. 传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。
3. 使用预处理语句,可以确信没有SQL注入会发生。

使用preparedStatement预处理

PreparedStatement pst = null;
        ResultSet rs = null;
        String sql1 = "select * from table1 where userId=?";
        int totals = -1;
        try {
            pst = conn.prepareStatement(sql1);
            pst.setString(1, userId);
            rs = pst.executeQuery();
            if(rs.next()) {
                totals = rs.getInt(1);
            }
        } catch (Exception e) {
            e.printStackTrace();    
            return -1;
        }

使用sql语句拼接

PreparedStatement pst = null;
        ResultSet rs = null;
        String sql1 = "select * from table1 where userId='"+userId+"'";
        int totals = -1;
        try {
            pst = conn.prepareStatement(sql1);
            rs = pst.executeQuery();
            if(rs.next()) {
                totals = rs.getInt(1);
            }
        } catch (Exception e) {
            e.printStackTrace();    
            return -1;
        }
【Java代码审计】SQL注入
大河之犬的博客
12-15 3063
SQL 注入SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露输入用户可控直接或间接拼入 SQL语句执行因 SQL 注入漏洞特征性较强,在实际的审计过程中我们往往可以通过一些自动化审计工具快速地发现这些可能存在安全问题的代码片,如使用奇安信代码卫士、Fortify 等自动化工具。
MySQL如何对SQL做prepare预处理(解决IN查询SQL预处理仅能查询出一条记录的问题)
健身变秃,coding变强
07-23 3522
1、SQL预处理prepare的由来? 2、SQL预处理prepare如何使用? 3、解决SQL预处理prepare对in查询无效的问题
mysql 预处理_MySQL预处理技术
weixin_35665584的博客
01-18 1009
所谓的预处理技术,最初也是由MySQL提出的一种减轻服务器压力的一种技术!传统mysql处理流程1, 在客户端准备sql语句2, 发送sql语句到MySQL服务器3, 在MySQL服务器执行该sql语句4, 服务器将执行结果返回给客户端这样每条sql语句请求一次,mysql服务器就要接收并处理一次,当一个脚本文件对同一条语句反复执行多次的时候,mysql服务器压力会变大,所以出现mysql...
MySQL数据库预处理(prepared statement)性能测试
Dengdew的博客
02-01 3323
1、预处理干了什么 当我们提交一条数据库语句时,语句到达数据库服务那边,数据库服务需要解析这条sql语句,比如说语法检查,查询条件先后优化,然后才执行。对于预处理,简单来说就是把客户端与数据库服务原本一次交互的分成两次。首先,提交数据库语句,让数据库服务先解析这条语句。其次,提交参数,调用语句并执行。这样对于多次重复执行的语句来说,可以提交并解析一次数据库语句就可以了,然后不断的调用刚刚解析过得语句并执行。这样就省去了多次解析同一条语句的时间。从而达到提高效率的目的。 预...
SQL注入分类,一看你就明白了。SQL注入点/SQL注入类型/SQL注入有几种/SQL注入点分类
热门推荐
wangyuxiang946的博客
02-18 2万+
根据输入的「参数」类型,可以将SQL注入分为两大类:「数值型」注入、「字符型」注入。 根据数据的「提交方式」分类:GET注入、POST注入、Cookie注入、HTTP Header注入。 根据页面「是否回显」分类:显注、盲注。
SQL注入点判断及注入方式
HMX404的博客
09-20 1万+
SQL注入类型 一,判断注入点 当参数可控时,看参数是否对数据产生影响,若有影响则可能是注入点。 输入SQL看是否可以产生报错,通过报错信息得到数据库部分语句。 利用引号、双引号、圆括号进行报对。 二,注入方式 get注入 在get传参时写入参数,将SQl语句闭合,后面加写入自己的SQL语句。 ?id=1‘order by 3 #判断有几列利用排序报错,超出列数报错。 ?id=1' union select 111,222,333 #显示回显点。 ?id=1' union select 111,us
SQL注入之五大注入手法
Clannad的博客
10-30 1万+
文章目录1、UNION query SQL injection(可联合查询注入)2、Error-based SQL injection(报错型注入)3、Boolean-based blind SQL injection(布尔型注入)4、Time-based blind SQL injection(基于时间延迟注入)5、Stacked queries SQL injection(可多语句查询注入/堆...
SQL 手工注入
枫梓林のBlog
04-25 1万+
SQL 手工注入 文章目录SQL 手工注入0x01 SQL注入概述0x02 SQL 注入原理1.基本概述2.单引号的作用3.SQL 注入流程4.SQL 注入的基本分类3.常见注入方式分类0x03 部署 sqli-labs 学习环境1.sqli-labs 简介2.部署sqli-labs 实验环境2.1 搭建LAMP 环境2.2 检查安装的状态和启动服务2.3 配置 mysq 数据库 root 用户密码2.4 安装 sqli-labs 教学环境2.5 创建快照0x04 安装 hackbar 插件0x05 SQL
什么是SQL注入
weixin_45626840的博客
04-25 1万+
sql注入的原理。 什么是SQL注入sql注入怎么发生
mysql 预处理理解,Mysql预处理与Mybatis
weixin_28993705的博客
03-23 815
SQL的语句处理分为两类1.即时SQL:一条 SQL 在 DB 接收到最终执行完毕返回,大致的过程如下:词法和语义解析;优化 SQL 语句,制定执行计划;执行并返回结果;如上,一条 SQL 直接是走流程处理,一次编译,单次运行,此类普通语句被称作 Immediate Statements2.预处理SQL但是,绝大多数情况下,某需求某一条 SQL 语句可能会被反复调用执行,或者每次执行的时候只有个别...
代码里使用字符串操作来拼接sql语句的坏处
jihuanliang的专栏
01-16 1万+
1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句
sql注入基础
weixin_52657559的博客
10-27 1852
sql注入
HQL查询语句拼接规范,避免SQL注入攻击
施勇
07-26 8053
软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
sql注入及mybatis防止sql注入
cristianoxm的博客
03-25 3895
一、Sql 注入漏洞详解 Sql 注入产生原因及威胁: 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。 Sql 注入带来的威胁主要有如下几点 猜解后台数据库,这是利用最多的方式,盗取网站的
什么是sql注入,怎么防止SQL注入
lh_hebine的博客
08-09 5581
防止SQL注入 什么是SQL注入? 用户提交带有恶意的数据与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产 生数据泄露的现象 如何防止SQL注入? SQL语句参数SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作 将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute方法中第二个参数 防止SQL注入的示例代码: fr...
SQL注入总结
qq_46081990的博客
04-22 4997
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的sql服务器加以解析和执行。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
SQL注入(三)各种sql注入方式
shirlly_的博客
04-11 1871
sql注入方式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值