防止SQL注入解决方案

在人员开发培训要最好玉先这样实施安全流程,可最大可能的减少这方面的问题……

STEP1:在设计方案上,采用参数化查询,如以下为JAVA为例:

String sql = "update  carinf set level_id=? where id=?";

PreparedStatement ps = con.prepareStatement(sql);

ps.setString(1, newids);

ps.setInt(2, selectid);

尽可能不使用拼接SQL的形式……。

如果必须采用拼接SQL时,如果参数为字串,需要进行转义,转义字符根据数据库的不同而有所差别……可以打开数据库驱动源码,可以看到全部的转义字符……如果参数为数字,则简单的判断下类型就可以了

if(!check.isNumeric(id))

throw new RuntimeException(" Id is not int ");

ps = conn.prepareStatement("select * from region where id = ‘"+ id+”’”);

rs = ps.executeQuery();

一般情况下,为了提高开发速度,只对用户URL做这样的设计,管理员使用的页面URL可以忽略。

STEP2:注入检测,这里以JAVA程序为例,测试工具为ECLIPSE

用IDE搜索JAVA文件内"update "/"insert "/"delete "、“select ”等SQL关键字…,查看源码是否用了SQL拼接。

STEP3:检测结果纪录表,主要记录以下内容

文件:/ebao/src/com/ebao/dao/CustomerDao.java

总数:2个

行:Line68

功能:邮相激活帐号

修复结果:fixed

复测结果:ok

STEP4: 根据检测结果做修复,在纪录表上记录修复结果

STEP5:复测,在纪录表上记录复测结果

转载于:https://blog.51cto.com/5505294/930399

防止SQL注入解决方案相关推荐

  1. pythonsql注入步骤_防止SQL注入解决方案

    SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可 ...

  2. sql 整改措施 注入_记一次Sql注入 解决方案

    老大反馈代码里面存在sql注入,这个漏洞会导致系统遭受攻击,定位到对应的代码,如下图所示 image like 进行了一个字符串拼接,正常的情况下,前端传一个 cxk 过来,那么执行的sql就是 se ...

  3. sql注入***原理

    sql注入***原理: 是数据库的安全漏洞.网站服务器端语言自身的缺陷以及程序设计过程中,对安全方面,考虑不足或者是不全面导致对输入字符串中夹带的sql指令的检查,从而是数据库受到***,包括数据库的 ...

  4. sql注入原理及解决方案

    sql注入原理及解决方案 参考文章: (1)sql注入原理及解决方案 (2)https://www.cnblogs.com/huzi007/p/6370732.html 备忘一下.

  5. ASP.NET 4学习笔记(1) SQL注入攻击及解决方案.

    一, 定义:所谓SQL注入攻击是应用程序开发人员未预期地把SQL代码传入到应用程序的过程,只有那些直接使用用户提供的值构造SQL语句的应用程序才会受影响. 例如原SQL代码为: select Orde ...

  6. mdcsoft服务器网络安全解决方案-SQL注入解决

    { 推荐大家,SQL注入最牛的解决办法在http://blog.mdcsoft.cn/archives/200805/46.html 太强大了,直接从IIS入口直接过滤掉了非法请求,mdcsoft-i ...

  7. Web系统常见安全漏洞介绍及解决方案-sql注入

    先看一下目录 一.常见漏洞类型 二.SQL注入 1.SQL 注入危险性.可能原因 2.场景重现 3.sql盲注 4.检测⽅法 5.防护⽅案 三.使用ORM框架 一.常见漏洞类型 关于web安全测试,目 ...

  8. 漏洞解决方案-SQL注入攻击

    漏洞解决方案-SQL注入攻击 前置知识 修复方案 代码参考 前置知识 SQL注入攻击,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. ...

  9. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

最新文章

  1. 17Mediator(中介者)模式
  2. 51CTO第2本书样章曝光:DHCP服务器规划与应用案例
  3. linux常规检查命令,linux学习-常规命令使用5
  4. 使用单独的解决方案(类库)来开发DNN的模块-C#版本(2)
  5. 如何在 Cypress 测试代码中屏蔽(Suppress)来自应用代码报出的错误消息
  6. [css] 怎么让body高度自适应屏幕?为什么?
  7. C++传入任意的函数类型作为参数
  8. 秘笈|如何利用DNS做好网络安全工作
  9. In static memberfunction
  10. RDD的创建 -Scala educoder
  11. 搭建Cocos2d-js开发环境(Window)
  12. 2008 iis php mysql_2008服务器配置iis7+php+mysql
  13. GOOGLE本地搜索
  14. c#读取mysql返回的值类型_C#中Mysql读取字段值
  15. 信息安全工程07875 自考软件工程 助学班复习纲要
  16. 中断驱动的自行车码表
  17. 游戏2:HTML5制作网页游戏看看你有多色--createjs
  18. 《强化学习周刊》第3期:深度强化学习如何提升鲁棒性和性能
  19. Windows中Redis的下载安装与修改密码并启动
  20. 基于vue3+ts+scss的后台管理系统(一)

热门文章

  1. 三剑客”之Swarm应用数据持久化管理(volume 、bind 、 nfs)
  2. 运行cmd直接进入指定目录下的命令
  3. 第二节课作业150206309
  4. 关于ActionContext.getContext()的使用方法心得
  5. java数组简单介绍以及其方法
  6. 多线程编程之线程绑定处理器核
  7. [转载]《吴恩达深度学习核心笔记》发布,黄海广博士整理!
  8. Linux基础第一周
  9. Dart 2为移动开发做出改进
  10. 【Android Demo】悬浮窗体实现