/j2ee/183226.html如何防止SQL注入网站怎么防止这样的事发生,越详细越好,谢谢各问的参与,还有就是如果代码都是能sql加参数的形式,还存在这样的问题吗?------解决方案--------------------------------------------------------过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..------解决方案--------------------------------------------------------注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益.最好的办法是不要用拼接SQL字符串,可以用prepareStatement,参数用set方法进行填装------解决方案--------------------------------------------------------sql注入形式:...where name="+name+",这样的sql语句很容易sql注入,可以这样:jdbcTemplate.update("delete from userinfo where id=? and userId=?", new Object[]{userInfo.getId(),userInfo.getUserId()});我的一些代码,望有用!------解决方案--------------------------------------------------------Sql注入漏洞攻击:如1'or'1'='1使用参数化查询避免mandText="select count(*) from 表名where username=@a and password=@b";cmd.parameters.Add(new SqlParameter("a",".."));cmd.parameters.Add(new SqlParameter("b",".."));------解决方案--------------------------------------------------------恩,用框架,用jpa的pojo。
就没这种事情了/j2ee/17811.htmlSSH2架构中怎么防止SQL注入呢?还有其他相关安全问题怎么设计呢?目前的安全,只是对用户密码加密,前台jquery验证。
如何实现防止注入攻击还有我的页面有些隐藏域保存这当前登录用户的信息等信息。
用户查看页面源代码就可以查看到了。
有没好的解决方案呢?还有其他哪些要注意的地方呢?Struts2 hibernate3 spring 3.0sql server 2000 sp4------解决方案--------------------------------------------------------你用的这些完全解决不了安全问题1:向CA 购买证书,使用HTTPS 进行通信,以保证在网络传输过程中是安全的2:避免XSS 注入(页面回显的input text, input hidden 均过滤<、>、"、' 等字符等)3:使用随机键盘或者安全控件防止键盘木马记录用户的输入4:若要在Cookie 中写入数据,尽量使用Cookie 的HttpOnly 属性5:响应中设置一些诸如X-Frame-Options、X-XSS-Protection 等高版本浏览器支持的HTTP 头6: 不管客户端是否做过数据校验,在服务端必须要有数据校验(长度、格式、是否必填等等)7: SQL 语句采用PreparedStatement 的填充参数方式,严禁使用字符串拼接SQL 或者HQL 语句/annleecn/blog/item/2a0de0f94b271c07d9f9fdda.html六个建议防止SQL注入式攻击2009-04-01 14:38SQL注入攻击的危害性很大。
在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理。
这有利于管理员采取有针一、SQL注入攻击的简单示例。
statement := "SELECT * FROM Users WHERE Value= " + a_variable + "上面这条语句是很普通的一条SQL语句,他主要实现的功能就是让用户输入一个员工编号然后查询处这个员工的信息。
但是攻击者改装过后,就可能成为破坏数据的黑手。
如攻击者在输入变量的时候,输入以下内容SA001‟;drop table c_order--。
那么以在执行的时候就变为了SELEC T * FROM Users WHERE Value= …SA001‟;drop table c_order--。
这条语句是什么意思呢?…SA001‟后面的分号表示一个查询的结束和另一条语句的开始。
c_order后面的双连字符指示当前行个注释,应该忽略。
如果修改后的代码语法正确,则服务器将执行该代码。
系统在处理这条语句时,将首先执行查询语句,查到用的用户信息。
然后,数据将删除表C_ORDER(如果没有其他主键等相关约束,则删除操作就会成功)。
只要注入的SQL代码语法编程方式来检测篡改。
因此,必须验证所有用户输入,并仔细检查在您所用的服务器中执行构造SQL命令的代码。
二、SQL注入攻击原理。
可见SQL注入攻击的危害性很大。
在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理。
这有利于管理员治措施。
SQL注入是目前比较常见的针对数据库的一种攻击方式。
在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。
然将该字符串传递到SQLServer数据库的实例中进行分析和执行。
只要这个恶意代码符合SQL语句的规则,则在代码编译与执行的系统所发现。
SQL注入式攻击的主要形式有两种。
一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。
上面笔用了这种方法。
由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。
二是一种间接的攻击方法,它将恶意代码注入要在原书据存储的字符串。
在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。
注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。
如以直接注入式攻击为例。
就是在用户输入变量的时候结束当前的语句。
然后再插入一个恶意SQL语句即可。
由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标的字符串。
执行时,系统会认为此后语句位注释,故后续的文本将被忽略,不背编译与执行。
三、SQL注入式攻击的防治。
既然SQL注入式攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对数据库管理员防治SQL注入式攻击有一定的1、普通用户与系统管理员用户的权限要有严格的区分。
如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本这个语句用户必须有相关的权限。
在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行。
故应用程序在设计的时候员的用户与普通用户区分开来。
如此可以最大限度的减少注入式攻击对数据库带来的危害。
2、强迫使用参数化语句。
如果在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。
而是通过参数来传递这个变量的话,那么就可以有入式攻击。
也就是说,用户的输入绝对不能够直接被嵌入到SQL语句中。
与此相反,用户的输入的内容必须进行过滤,或者使用递用户输入的变量。
参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
采用这种措施,可以杜绝大部分的SQL注可惜的是,现在支持参数化语句的数据库引擎并不多。
不过数据库工程师在开发产品的时候要尽量采用参数化语句。
3、加强对用户输入的验证。
总体来说,防治SQL注入式攻击可以采用两种方法,一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递在SQLServer数据库中,有比较多的用户输入内容验证工具,可以帮助管理员来对付SQL注入式攻击。
测试字符串变量的内容,拒绝包含二进制数据、转义序列和注释字符的输入内容。
这有助于防止脚本注入,防止某些缓冲区溢出攻击。
测试用户输入内容的强制执行适当的限制与转换。
这即有助于防止有意造成的缓冲区溢出,对于防治注入式攻击有比较明显的效果。
如可以使用存储过程来验证用户的输入。
利用存储过程可以实现对用户输入变量的过滤,如拒绝一些特殊的符号。
如以上那个要存储过程把那个分号过滤掉,那么这个恶意代码也就没有用武之地了。
在执行SQL语句之前,可以通过数据库的存储过程,来的符号。
在不影响数据库应用的前提下,应该让数据库拒绝包含以下字符的输入。
如分号分隔符,它是SQL注入式攻击的主要帮凶注释只有在数据设计的时候用的到。
一般用户的查询语句中没有必要注释的内容,故可以直接把他拒绝掉,通常情况下这么做不会把以上这些特殊符号拒绝掉,那么即使在SQL语句中嵌入了恶意代码,他们也将毫无作为。
故始终通过测试类型、长度、格式和范围来验证用户输入,过滤用户输入的内容。
这是防止SQL注入式攻击的常见并且行之4、多多使用SQL Server数据库自带的安全参数。
为了减少注入式攻击对于SQL Server数据库的不良影响,在SQLServer数据库专门设计了相对安全的SQL参数。
在数据库程师要尽量采用这些参数来杜绝恶意的SQL注入式攻击。
如在SQL Server数据库中提供了Parameters集合。
这个集合提供了类型检查和长度验证的功能。
如果管理员采用了Param 话,则用户输入的内容将被视为字符值而不是可执行代码。
即使用户输入的内容中含有可执行代码,则数据库也会过滤掉。
因为此当作普通的字符来处理。
使用Parameters集合的另外一个优点是可以强制执行类型和长度检查,范围以外的值将触发异常。
如果合指定的类型与长度约束,就会发生异常,并报告给管理员。
如上面这个案例中,如果员工编号定义的数据类型为字符串型,长度用户输入的内容虽然也是字符类型的数据,但是其长度达到了20个字符。
则此时就会引发异常,因为用户输入的内容长度超过了限制。
5、多层环境如何防治SQL注入式攻击?在多层应用环境中,用户输入的所有数据都应该在验证之后才能被允许进入到可信区域。