防止SQL注入式攻擊的筆記

防止SQL注入式攻擊的筆記

news/2025/8/29 15:49:59/文章來源:https://blog.csdn.net/xishining/article/details/88400636

SQL注入式攻擊是指利用設計上的漏洞攻擊系統。如果動態生成SQL語句時沒有對用戶輸入的數據

進行過濾，便會使SQL注入式攻擊得逞。

例如用下面的SQL語句判斷用戶名和密碼：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" & txtpassword.text & "'"

則通過SQL注入式攻擊，在“密碼”文本框中輸入1'or '1'='1,非法用戶便可在

沒有密碼的情況下輕松登錄系統，因為SQL語句已經變為：

txtsql="select * from user_info where userid='"&txtuserid &"' and_

password='" &_1'or '1'='1 & "'"

要防范SQL注入式攻擊，應該注意一下幾點;

1,檢查輸入的SQL語句的內容，如果包含敏感字符，則刪除敏感字符，敏感字符

包含【',>,<=,!,_,+,*,/,(),|和空格】

2，不要在用戶輸入過程中構造where子句，應該利用參數來使用存儲過程。

下面舉例來防范SQL注入式攻擊：

Function inputString(mystr) as String

mystr=Trim(mystr)

mystr=Replace(mystr,"'","'")

mystr=Replace(mystr,"；--","")

mystr=Replace(mystr,"=",""）

mystr=Replace(mystr,"or","")

mystr=Replace(mystr,"and","")

End Function

txtsql="select * from user_info where userid='" & txtuserid & "' and_

password='" & inputString(txtpassword.text) & "'"

歡迎關注我的公眾號（同步更新文章）：DoNet技術分享平臺

閱讀原文

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/272669.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/272669.shtml
英文地址，請注明出處：http://en.pswp.cn/news/272669.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！

相關文章

linux輸入一個用戶看是否在工作,linux下的用戶管理詳解

linux輸入一個用戶看是否在工作,linux下的用戶管理詳解

linux下的用戶管理詳解useradd 命令詳解添加用戶想要對linux下面的帳號了解的話首先必須要了解的4個配置文件[rootlocalhost /]# cat /etc/passwd首先我們需要了解的是用戶帳號的配置信息/etc/passwd里面的內容每個字段都以:分割，下面我們詳細的看看每個字段的意思r…

閱讀更多...

Java命令學習系列（零）——常見命令及Java Dump介紹

Java命令學習系列（零）——常見命令及Java Dump介紹

Java命令學習系列（零）——常見命令及Java Dump介紹一、常用命令： 在JDK的bin目彔下,包含了java命令及其他實用工具。 ? jps:查看本機的Java中進程信息。 ? jstack:打印線程的棧信息,制作線程Dump。 ? jmap:打印內存映射,制作堆Dump。 ? …

閱讀更多...

優秀程序員的十個習慣

優秀程序員的十個習慣

在這個世界上，有數百萬的人熱衷于軟件開發，他們有很多名字，如：軟件工程師（Software Engineer），程序員（Programmer），編碼人（Coder）&…

閱讀更多...

linux下jmap 內存命令,Linux下jmap命令查看內存使用

linux下jmap 內存命令,Linux下jmap命令查看內存使用

Linux下jmap命令查看內存使用jmap -heap 1234(1234為進程號)jmap是JDK自帶的一個工具，非常小巧方便，其支持參數如下：-heap打印heap空間的概要，這里可以粗略的檢驗heap空間的使用情況。例：jmap -heap 12345輸出&#xf…

閱讀更多...

BZOJ3144: [Hnoi2013]切糕

BZOJ3144: [Hnoi2013]切糕

題目：http://www.lydsy.com/JudgeOnline/problem.php?id3144 把每一條z軸都拿出來，s->(x,y,1),cf[x][y][1];(x,y,k)->(x,y,k1),cf[x][y][k];(x,y,r)->t,cinf 然后對于四聯通的點，(x,y,z)->(x,y’,z-d) 似乎這叫經典的最小割模型…

閱讀更多...

如何通俗地解釋 C、C++、C#、Java、JavaScript、HTML、Python的用處

如何通俗地解釋 C、C++、C#、Java、JavaScript、HTML、Python的用處

世界上本來沒有計算機，工程師創造了它。為了讓告訴計算機需要做什么事情，工程師發明了程序設計語言。簡單粗暴的編程：C語言：用來學編程；C語言：用來使勁兒學編程；C#：用來在windows操作…

閱讀更多...

安卓linux交叉編譯,Linux Ubuntu下用Android NDK 生成獨立交叉編譯鏈

安卓linux交叉編譯,Linux Ubuntu下用Android NDK 生成獨立交叉編譯鏈

本文主要介紹使用Android NDK生成獨立交叉編譯鏈，然后使用獨立交叉編譯鏈編譯Android程序下載NDK下載與自己操作系統相吻合的版本下載地址解壓到安裝目錄(如~/myndk):tar -zxvf android-ndk-r14b-linux-x86_64將NDK的根目錄生成一個環境變量打開~/.bashrcw文件&…

閱讀更多...

數據結構——各排序算法的比較

數據結構——各排序算法的比較

1.從時間復雜度比較　　從平均時間復雜度來考慮，直接插入排序、冒泡排序、直接選擇排序是三種簡單的排序方法，時間復雜度都為O(n2)，而快速排序、堆排序、二路歸并排序的時間復雜度都為O(nlog2n)，希爾排序的復雜度介于這兩者之間。…

閱讀更多...

將c程序移植到linux,各位大俠：我把原來在linux運行的c程序移植到HPUNIX上出現了錯誤...

將c程序移植到linux,各位大俠：我把原來在linux運行的c程序移植到HPUNIX上出現了錯誤...

各位大俠：我把原來在linux運行的c程序移植到HPUNIX上出現了錯誤(2012-04-11 00:43:47)標簽：linuxc程序雜談各位大俠：我把原來在linux運行的c程序移植到HP_UNIX上出現了錯誤makefileCC aCC -AA W829 DD64 DAportable-I/ods/app/oracle/produc…

閱讀更多...

數據庫學習建議之提高數據庫速度的十條建議

數據庫學習建議之提高數據庫速度的十條建議

很多網站的重要信息都是保存在數據庫中的，用戶通過提交訪問數據庫來獲取用戶信息。如果數據庫速度非常的快，有助于節省服務器的資源，在這篇文章中，我收集了十個優化數據庫速度的技巧。0. 小心設計數據庫第一個技巧也許看來理所當然…

閱讀更多...

Java中數據類型的取值范圍

Java中數據類型的取值范圍

整數數據類型的取值范圍我們都知道計算機的底層是二進制，也知道不同的整數類型存儲值的范圍不同，可這些數值在計算機底層是怎樣存儲的呢？數值范圍又是怎么計算出來的呢？ 下面以java來進行舉例： byte 1個字節 (8bit…

閱讀更多...

linux的cpu信息怎么理解,理解Linux下的CPU信息：lscpu cpuinfo

linux的cpu信息怎么理解,理解Linux下的CPU信息：lscpu cpuinfo

通過lscpu命令，可以看到CPU的一些基本信息。如下所示，可以很清楚的看到這臺服務器使用兩個物理socket，每個socket上有6個core，每個core上有兩個線程(超線程)，所以一共有2 * 6 * 2 24個邏輯CPU。Architecture: x86_64C…

閱讀更多...

如何降低SQL語句復雜度

如何降低SQL語句復雜度

SQL語句復雜度的優化就是在結果正確的前提下，將復雜、難以維護的SQL語句拆分成獨立、易懂的SQL片段，當然也要充份利用索引，減少表描的I/O次數，盡量避免表搜索的發生。下面介紹降低SQL語句復雜度的幾個建議1、動態查詢語句一些應用…

閱讀更多...

提高程序員工作效率的11個技巧

提高程序員工作效率的11個技巧

“吃苦耐勞”真的是優良品質嗎，與你怎么做相比，老板們應該更關心你做了什么、達到的效果。所以，效率，還是效率，希望這些實用小技巧對大家有所幫助。1、兩分鐘法則如果一件事可以在兩分鐘內完成，比如回復郵件…

閱讀更多...

tq3358 linux 串口驅動編程,TQ335x——spidev驅動的生成

tq3358 linux 串口驅動編程,TQ335x——spidev驅動的生成

kernel：CD盤的kernel3.2包環境：vmware10，ubuntu14.04修改的部分：arch/arm/mach-omap2/board-am335xevm.c文件中static struct spi_board_info am335x_spi1_slave_info[] {{.modalias "smb380",.platform_data &A…

閱讀更多...

Linux下顯示ip所屬位置

Linux下顯示ip所屬位置

在linux下，要是網絡出現延遲，通常我們需要分析自己到對端的服務器的網絡環境 1 例：ping www.baidu.com 2 traceroute www.baidu.com 通過分析來確定大概是什么問題，可當我們去跟蹤某個ip的時候不知道來源，假如每一個…

閱讀更多...

C#程序集相關的概念

C#程序集相關的概念

程序集包含：類型元數據（描述在代碼中定義的每一類型和成員，二進制形式）。程集元數據（程序集清單、版本號、名稱等）、IL代碼（這些都被裝在exe或dll中）、資源文件。每個程序集都有自己…

閱讀更多...

linux+刪除亂碼的文件,linux 下刪除亂碼文件-乾頤堂

linux+刪除亂碼的文件,linux 下刪除亂碼文件-乾頤堂

在linux下刪除文件，遇到特殊字符是一件非常頭疼的事情。1. 如果文件名帶 ‘-’ 或者‘--’這樣的字符刪除辦法為：rm -- 文件名如文件名為：-pythontab.tgz如果用普通方法去刪除：1rm -pythontab.tgz結果錯誤：rm: invalid…

閱讀更多...

程序員如何保護自己的頸椎

程序員如何保護自己的頸椎

我們程序員天天對著電腦，眼睛，頸椎等等，都會落下不少的職業病。來說說怎么治療自己的頸椎病。1、頸椎病是怎么產生的形成頸椎病的核心原因是：不良生活習慣我們身體的絕大部分疾病都是來自不良的生活習慣，生活習慣不改&…

閱讀更多...

如何改變XCode的默認設置

如何改變XCode的默認設置

改變bundle ID 進入 /Developer/Platforms/iPhoneOS.platform/Developer/Library/Xcode/Project Templates/Application 目錄然后進入各個子目錄(Navigation-based ApplicationOpenGL ES ApplicationSplit View-based ApplicationTab Bar ApplicationUtility ApplicationView-b…

閱讀更多...

最新文章