jdbctemplate执⾏多条sql_sql注⼊
MySQL 及 SQL 注⼊
如果您通过⽹页获取⽤户输⼊的数据并将其插⼊⼀个MySQL数据库,那么就有可能发⽣SQL注⼊安全的问题。
本章节将为⼤家介绍如何防⽌SQL注⼊,并通过脚本来过滤SQL中注⼊的字符。
所谓SQL注⼊,就是通过把SQL命令插⼊到Web表单递交或输⼊域名或页⾯请求的查询字符串,最终达到欺骗服务器执⾏恶意的SQL命令。
我们永远不要信任⽤户的输⼊,我们必须认定⽤户输⼊的数据都是不安全的,我们都需要对⽤户输⼊的数据进⾏过滤处理。
以下实例中,输⼊的⽤户名必须为字母、数字及下划线的组合,且⽤户名长度为 8 到 20 个字符之间:
if (preg_match("/^w{8,20}$/", $_GET['username'], $matches))
{
$result = mysql_query("SELECT * FROM users
WHERE username=$matches[0]");
}
else
{
echo "username 输⼊异常";
}
让我们看下在没有过滤特殊字符时,出现的SQL情况:
// 设定$name 中插⼊了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysql_query("SELECT * FROM users WHERE name='{$name}'");
以上的注⼊语句中,我们没有对 $name 的变量进⾏过滤,$name 中插⼊了我们不需要的SQL语句,将删除 users 表中的所有数据。
在PHP中的 mysql_query() 是不允许执⾏多个SQL语句的,但是在 SQLite 和 PostgreSQL 是可以同时执⾏多条SQL语句的,所以我们对这些⽤户的数据需要进⾏严格的验证。
防⽌SQL注⼊,我们需要注意以下⼏个要点:
1.永远不要信任⽤户的输⼊。对⽤户的输⼊进⾏校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进⾏转换等。
2.永远不要使⽤动态拼装sql,可以使⽤参数化的sql或者直接使⽤存储过程进⾏数据查询存取。
3.永远不要使⽤管理员权限的数据库连接,为每个应⽤使⽤单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应⽤的异常信息应该给出尽可能少的提⽰,最好使⽤⾃定义的错误信息对原始错误信息进⾏包装
6.sql注⼊的检测⽅法⼀般采取辅助软件或⽹站平台来检测,软件⼀般采⽤sql注⼊检测⼯具jsky,⽹站平台就有亿思⽹站安全平台检测⼯具。MDCSOFT SCAN等。采⽤MDCSOFT-IPS可以有效的防御SQL注⼊,XSS攻击等。
防⽌SQL注⼊
在脚本语⾔,如Perl和PHP你可以对⽤户输⼊的数据进⾏转义从⽽来防⽌SQL注⼊。
PHP的MySQL扩展提供了mysql_real_escape_string()函数来转义特殊的输⼊字符。
if (get_magic_quotes_gpc())
{
$name = stripslashes($name);
}
$name = mysql_real_escape_string($name);
mysql_query("SELECT * FROM users WHERE name='{$name}'");
Like语句中的注⼊
like查询时,如果⽤户输⼊的值有""和"%",则会出现这种情况:⽤户本来只是想查询"abcd",查询结果中却有"abcd_"、"abcde"、"abcdf"等等;⽤户要查询"30%"(注:百分之三⼗)时也会出现问题。
在PHP脚本中我们可以使⽤addcslashes()函数来处理以上情况,如下实例:
$sub = addcslashes(mysql_real_escape_string("%something_"), "%_");
// $sub == %something_
mysql_query("SELECT * FROM messages WHERE subject LIKE '{$sub}%'");
addcslashes() 函数在指定的字符前添加反斜杠。
语法格式:
addcslashes(string,characters)
参数 描述
string 必需。规定要检查的字符串。
jdbctemplate查询一条数据characters 可选。规定受 addcslashes() 影响的字符或字符范围。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论