什麼是sql防注入

㈠ 什麼是sql語句注入該如何防止數據SQL數據注入

sql 注入:

就是通過表單將包含sql命令的信息發送至後台，後台將這些信息按照sql命令的方式，得到運行，那麼我們稱這種行為為sql注入。

如下所示:sql注入漏洞防止方法

參數化是目前sql注入防止的最佳方法。

請參閱，如有疑問，請及時溝通！

㈡ 什麼叫sql注入，如何防止sql注入

可以使用變數綁定的方式就可以防止sql注入，如果是直接拼接的方式那麼就非常容易被注入。比如：select * from tablename where user='admin' and pwd ='123' 假設說這個是一個登錄的sql語句，admin是用戶文本框輸入的，pwd是密碼框輸入的。如果密碼文本框如果輸入：' or '1'='1 那麼拼接起sql就是select * from tablename where user='admin' and pwd ='' or '1'='1' 那麼就會跳過sql的條件就直接進入登錄，但是如果是使用綁定變數的就不一樣
如下：
select * from tablename where user=@user and pwd =@pwd
@user=admin
@pwd=123
這樣的話不管user和pwd傳入的是什麼內容都被sql server識別成字元串而不是直接拼接在sql 語句上。

㈢ sql注入攻擊與防禦是什麼

SQL注入攻擊屬於資料庫安全攻擊手段之一，可以通過資料庫安全防護技術實現有效防護，資料庫安全防護技術包括：資料庫漏掃、資料庫加密、資料庫防火牆、數據脫敏、資料庫安全審計系統。防護的方法有很多種，比如F5的解決方案，F5提出Web應用安全解決方案的出發點：應用安全管理，既要大幅提高系統的攻擊防禦能力，降低威脅，同時又要增強應用的透明度，讓應用系統的性能不受影響，保證持續的高可用性

㈣ 面試的時候，問了一個問題，什麼是 防止SQL注入

簡單回答：防止——利用即有的應用、功能，將（惡意）SQL命令發送到到後台資料庫引擎。

----------詳述，及關鍵要點，有耐心可以看一看--------

-------（下面的論述，要看懂需要有基本的SQL資料庫編程和操作知識，本人實際經驗，僅供參考）------

1、SQL語言在當前主要用於資料庫管理系統軟體中，進行數據查詢、分析、匯總等等，但一些高級別的資料庫管理系統還存在一些非常高級的能力，可以以向它發送SQL指令的方法讓它干一些特別的事，甚至出格的事，比如起動某個應用程序等，具體的能力視「資料庫管理系統」（也稱「資料庫引擎」）而定。一些通用的資料庫指令有時也能幹出一些出格的事，比如創建用戶、修改用戶（特別是管理員用戶）基礎信息（比如密碼）等。

2、其實，一般而言，絕大多數沒有學過電腦與資料庫的人是不懂得SQL語言的。也就是說，一般的客戶端使用者總是按設計者的預設以點擊或輸入常規信息的方法來與電腦進行交互，進而將數據傳給客戶端，客戶端合成SQL指令後向「資料庫引擎」獲取或提交數據。

3、但是因為SQL指令是一種純文本的字串，在某些特定情況下，操作者輸入的字串經客戶端合成後，會異化成能讓「資料庫引擎」誤讀的指令。

4、舉個簡單的例子進行說明吧：

----**********************-----

A、設計者預先的設計，用戶輸入條件，'其他費用'（或別的字串），就查出 ABA02欄位 中值為『其它費用』（或別的字串）的數據。預期合成後發向伺服器的字串為：

SELECT*FROMABA1A
WHEREABA02='其他費用'

B、但是，輸入者並不按預期的輸入，而是輸入可以合成惡意SQL語句的字串，那麼，我們來看看會發生什麼事。

合成SQL的代碼一般是：

"SELECT*FROMABA1AWHEREABA02='"+用戶輸入字串+"'"

現在用戶輸入

"其他費用';DELETE[!AY_LS]WHERE'0'='0"

代入上一行，變成：

"SELECT*FROMABA1AWHEREABA02='"+"其他費用';DELETE[!AY_LS]WHERE'0'='0"+"'"

最終合成的SQL字串就是：

SELECT*FROMABA1AWHEREABA02
='其他費用';DELETE[LSTAB]WHERE'0'='0'

能看懂SQL的人就明白了，這個字串如果發向「資料庫引擎」，結果是，查出數據之外，還將LSTAB這個數據表中所有的數據進行了刪除，這根本不是設計者預先所需要的。

----**********************-----

5、更多的相關的發揮你可以自個去想，有的SQL語句利用「資料庫引擎」的能力可以產生相當可怕的後果。產生這種「SQL注入」的可能，是因為設計者沒有客戶輸入後，合成SQL語句時，可能有「SQL注入」進行猜測與預想。另一方面，「SQL注入」的實現往往需要客戶對SQL資料庫有相當的了解。

6、防止SQL注入最基本的要點就是，破壞用戶的輸入可能合成有效的SQL語句的可能。做法有很多，比如限制輸入的長度，限制輸入特定的字元，對用戶輸入的數據進行預檢，不讓用戶自由輸入，只能輸入關鍵詞並轉碼為特定數值，等等。

7、最常規的，違范的做法就是，不讓用戶自由輸入條件字串，只能輸入特定的條件，這是防SQL注入的最好辦法。實在需要自由輸入的情況下，一定要做預判，不讓自由輸入的字串能合成有效SQL語句。比如，最簡單的禁止中存在「空格」這樣，就無法合成有效的無錯的SQL語句了，等等！

8、「SQL注入」不但在網頁輸入中可能存在，在其它的，只要涉及用戶輸入與「資料庫引擎」的情況下，都可能存在！另外，網頁提交中，有些非常規的方法可以繞過正常的方式輸入，比如直接在瀏覽器網址處輸入特定字串，以直接post數據等。

㈤ 什麼是sql注入，如何防止sql注入

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到後台資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的，這類表單特別容易受到SQL注入式攻擊．

SQL注入攻擊實例：

比如在一個登錄界面，要求輸入用戶名和密碼：

可以這樣輸入實現免帳號登錄：

用戶名： 『or 1 = 1 –

密 碼：

點登陸,如若沒有做特殊處理,那麼這個非法用戶就很得意的登陸進去了.(當然現在的有些語言的資料庫API已經處理了這些問題)

這是為什麼呢? 下面我們分析一下：

從理論上說，後台認證程序中會有如下的SQL語句：

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

當輸入了上面的用戶名和密碼，上面的SQL語句變成：

SELECT * FROM user_table WHERE username=

'』or 1 = 1 -- and password='』

分析SQL語句：

條件後面username=」or 1=1 用戶名等於 」 或1=1 那麼這個條件一定會成功；

然後後面加兩個-，這意味著注釋，它將後面的語句注釋，讓他們不起作用，這樣語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

這還是比較溫柔的，如果是執行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其後果可想而知…

防SQL注入：

下面我針對JSP，說一下應對方法：

1.（簡單又有效的方法）PreparedStatement

採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。

使用好處：

(1).代碼的可讀性和可維護性.

(2).PreparedStatement盡最大可能提高性能.

(3).最重要的一點是極大地提高了安全性.

原理：

sql注入只對sql語句的准備(編譯)過程有破壞作用

而PreparedStatement已經准備好了,執行階段只是把輸入串作為數據處理,

而不再對sql語句進行解析,准備,因此也就避免了sql注入問題.

2.使用正則表達式過濾傳入的參數

要引入的包：

import java.util.regex.*;

正則表達式：

private String CHECKSQL = 「^(.+)\sand\s(.+)|(.+)\sor(.+)\s$」;

判斷是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：

/(\%27)|(』)|(--)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^ ]*((\%27)|(』)|(--)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ：/w*((\%27)|(』))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(』))union/ix(\%27)|(』)

檢測MS SQL Server SQL注入攻擊的正則表達式：

/exec(s|+)+(s|x)pw+/ix

等等…..

3.字元串過濾

比較通用的一個方法：

（||之間的參數可以根據自己程序的需要添加）

publicstaticbooleansql_inj(Stringstr)
{
Stringinj_str="'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
Stringinj_stra[]=split(inj_str,"|");
for(inti=0;i<inj_stra.length;i++)
{
if(str.indexOf(inj_stra[i])>=0)
{
returntrue;
}
}
returnfalse;
}

㈥ 什麼是sql注入如何防止sql注入

SQL注入是一種非常常見的資料庫攻擊手段，同時也是網路世界中最普遍的漏洞之一，簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句中，也就導致如果我們在數據項中加入了某些SQL語句關鍵字，比如SELECT、DROP等，這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一：
採用預編譯技術
使用預編譯的SQL語句，SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS，完成了解析，檢查，編譯等工作，所以攻擊者無法改變SQL語句的結構，只是把值賦給?，然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作，大家感興趣可以去搜索一下。
方案二：
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的，因為在接受到用戶輸入id時，代碼一般會做一個int id 的數據類型轉換，假如我們輸入的是字元串的話，那麼這種情況下，程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言，一般我們看到的接收id的代碼都是如下等代碼。
方案三：
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止，但是字元型不可以，那麼怎麼辦呢，最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義，這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等，但是這些函數並非一勞永逸，攻擊者還可以通過一些特殊的方式繞過。

㈦ 防止SQL注入～～是什麼意思

SQL注入，就是利用sql不完規范代碼漏洞進行網站功擊。
比如你在網站上寫上if **()="admin" then的代碼，admin為用戶等判斷如果再下來不進行過濾那麼別人有可能用if**()="user
"代碼進入你的系統。又如登錄框 用戶名： 密碼 提交。
這樣的樣式，別人可以用"or"="or" 進入。如：用戶名："or"="or"密碼"or"="or"。你點提交可以直接進入對方後台，並切是管理員，但大部分網站已經過濾掉or了。網站最要命的有user admin add or rs eof等。都可以進入，所以做好網站，還要做一個過濾的代碼。來做安全。
由於不給寫太多有關資料庫的代碼，俺 不演示了。不過你可以用"or"="or" 式式別人的網站了。方法你在google輸入網站管理後台。然後就享受一下吧。別忘記了，只在學習，不能亂來。口號是一致對外，特別是日本美國。

㈧ 什麼叫做SQL注入，如何防止請舉例說明。

所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串，欺騙伺服器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造(或者影響)動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如： ⑴ 某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和密碼。 ⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子： System.Text.StringBuilder query = new System.Text.StringBuilder("SELECT * from Users WHERE login = 』")。Append(txtLogin.Text)。Append("』 AND password=』")。Append(txtPassword.Text)。Append("』"); ⑶ 攻擊者在用戶名字和密碼輸入框中輸入"』或』1』=』1"之類的內容。 ⑷ 用戶輸入的內容提交給伺服器之後，伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：SELECT * from Users WHERE login = 』』 or 』1』=』1』 AND password = 』』 or 』1』=』1』. ⑸ 伺服器執行查詢或存儲過程，將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。 ⑹ 由於SQL命令實際上已被注入式攻擊修改，已經不能真正驗證用戶身份，所以系統會錯誤地授權給攻擊者。 如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能，欺騙系統授予訪問許可權。 系統環境不同，攻擊者可能造成的損害也不同，這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權，攻擊者就可能對資料庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。二、如何防範? 好在要防止ASP.NET應用被SQL注入式攻擊闖入並不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL命令之前，把所有輸入內容過濾一番就可以了。過濾輸入內容可以按多種方式進行。 ⑴ 對於動態構造SQL查詢的場合，可以使用下面的技術： 第一：替換單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。再來看前面的例子，「SELECT * from Users WHERE login = 』』』 or 』』1』』=』』1』 AND password = 』』』 or 』』1』』=』』1』」顯然會得到與「SELECT * from Users WHERE login = 』』 or 』1』=』1』 AND password = 』』 or 』1』=』1』」不同的結果。 第二：刪除用戶輸入內容中的所有連字元，防止攻擊者構造出類如「SELECT * from Users WHERE login = 』mas』 —— AND password =』』」之類的查詢，因為這類查詢的後半部分已經被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問許可權。 第三：對於用來執行查詢的資料庫帳戶，限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作，因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。 ⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外，它還使得資料庫許可權可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。 ⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元，那麼不要認可表單中輸入的10個以上的字元，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。 ⑷ 檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。 在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本(或者直接刪除腳本)，然後將非法內容通過修改後的表單提交給伺服器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象，例如RegularExpressionValidator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己創建一個。 ⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據，然後再將它與資料庫中保存的數據比較，這相當於對用戶輸入 的數據進行了「消毒」處理，用戶輸入的數據不再對資料庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。 System.Web.Security.FormsAuthentication類有一個 ，非常適合於對輸入數據進行消毒處理。 ⑹ 檢查提取數據的查詢所返回的記錄數量。如果程序只要求返回一個記錄，但實際返回的記錄卻超過一行，那就當作出錯處理。

㈨ 什麼是sql注入，怎麼防止sql注入

原理
SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程序沒有細致地過濾用戶輸入的數據，致使非法數據侵入系統。
根據相關技術原理，SQL注入可以分為平台層注入和代碼層注入。前者由不安全的資料庫配置或資料庫平台的漏洞所致；後者主要是由於程序員對輸入未進行細致地過濾，從而執行了非法的數據查詢。基於此，SQL注入的產生原因通常表現在以下幾方面：①不當的類型處理；②不安全的資料庫配置；③不合理的查詢集處理；④不當的錯誤處理；⑤轉義字元處理不合適；⑥多個提交處理不當。

攻擊
當應用程序使用輸入內容來構造動態sql語句以訪問資料庫時，會發生sql注入攻擊。如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字元串來傳遞，也會發生sql注入。sql注入可能導致攻擊者使用應用程序登陸在資料庫中執行命令。相關的SQL注入可以通過測試工具pangolin進行。如果應用程序使用特權過高的帳戶連接到資料庫，這種問題會變得很嚴重。在某些表單中，用戶輸入的內容直接用來構造動態sql命令，或者作為存儲過程的輸入參數，這些表單特別容易受到sql注入的攻擊。而許多網站程序在編寫時，沒有對用戶輸入的合法性進行判斷或者程序中本身的變數處理不當，使應用程序存在安全隱患。這樣，用戶就可以提交一段資料庫查詢的代碼，根據程序返回的結果，獲得一些敏感的信息或者控制整個伺服器，於是sql注入就發生了。

防護
歸納一下，主要有以下幾點：
1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和
雙"-"進行轉換等。
2.永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員許可權的資料庫連接，為每個應用使用單獨的許可權有限的資料庫連接。
4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。
5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝
6.sql注入的檢測方法一般採取輔助軟體或網站平台來檢測，軟體一般採用sql注入檢測工具jsky，網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入，XSS攻擊等。