sql注入的原因:
表面上說是因為拼接字串,構成sql語句,沒有使用sql語句預編譯,繫結變數造成的。
但是更深層次的原因是將使用者輸入的字串,當成了「sql語句」來執行。
sql注入的常用兩種解決方法:
1> 基本上大家都知道 採用sql語句預編譯和繫結變數,是防禦sql注入的最佳方法。但是其中的深層次原因就不見得都理解了。
string sql = 「select id, no from user where id=?」;
preparedstatement ps = conn.preparestatement(sql);
ps.setint(1, id);
ps.executequery();
如上所示,就是典型的採用sql語句預編譯和繫結變數。為什麼這樣就可以防止sql 注入呢?
其原因就是:採用了preparedstatement,就會將sql語句:「select id, no from user where id=?」 預先編譯好,也就是sql引擎會預先進行語法分析,
產生語法樹,生成執行計畫,也就是說,後面你輸入的引數,無論你輸入的是什麼,都不會影響該sql語句的語法結構了,因為語法分析已經完成了,而
語法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使你後面輸入了這些sql命令,也不會被當成sql命令來執
行了,因為這些sql命令的執行,必須先得通過語法分析,生成執行計畫,既然語法分析已經完成,已經預編譯過了,那麼後面輸入的引數,是絕對不可
能作為sql命令來執行的,只會被當做字串字面值引數。所以sql語句預編譯可以防禦sql注入。
2> 但是不是所有場景都能夠採用 sql語句預編譯,有一些場景必須的採用字串拼接的方式,此時,我們嚴格檢查引數的資料型別,還有可以使用一些
安全函式,來方式sql注入。
比如 string sql = 「select id,no from user where id=」 + id;
在接收到使用者輸入的引數時,我們就嚴格檢查 id,只能是int型。複雜情況可以使用正規表示式來判斷。這樣也是可以防止sql注入的。
安全函式的使用,比如:
mysqlcodec codec = new mysqlcodec(mode.standard);
name = esapi.encoder().encodeforsql(codec, name);
string sql = 「select id,no from user where name=」 + name;
esapi.encoder().encodeforsql(codec, name)
該函式會將 name 中包含的一些特殊字元進行編碼,這樣 sql 引擎就不會將name中的字串當成sql命令來進行語法分析了。
實際專案中,一般我們都是採用各種的框架,比如ibatis,mybatis,hibernate等等。他們一般也預設就是sql預編譯的。對於ibatis/mybatis,如果使用的
是 #形式的,那麼就是sql預編譯,使用 $ 就不是sql預編譯的。
SQL注入解決方法
簡單又有效的方法 preparedstatement 採用預編譯語句集,它內建了處理sql注入的能力,只要使用它的set 方法傳值即可。使用好處 1 的可讀性和可維護性.2 preparedstatement盡最大可能提高效能.3 最重要的一點是極大地提高了安全性.原理 sql注入只對sql語句的準...
搜尋型SQL注入解決方法
1.一般搜尋型為get方式,但是如果不過濾一些特殊欄位就會有漏洞,如 sql select from 表名 where name like key.像這種在輸入框輸入特殊字元如 or,and,update等,會使等式成立,搜尋出全部內容,這個是錯誤的 2.解決方法 function match ch...
php中防止SQL注入的最佳解決方法
本篇文章介紹了,php中防止sql注入的最佳解決方法。需要的朋友參考下 如果使用者輸入的是直接插入到乙個sql語句中的查詢,應用程式會很容易受到sql注入,例如下面的例子 複製 如下 unsafe variable post user input mysql query insert into ta...