SQL注入攻击原理及防御策略
一.什么是SQL注入
SQL注入,一般指web应用程序对用户输入数据的合法性没有校验或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 总的来说就是,攻击者通过系统正常的输入数据的功能,输入恶意数据,而系统又未作任何的校验,直接信任了用户输入,使得恶意输入改变原本的SQL逻辑或者执行了额外的SQL脚本达,从而造成了SQL注入攻击。
二.SQL注入的危害及案例
1.SQL注入攻击的危害
SQL注入攻击的危害有很多,比如:
使得系统业务功能异常或者失效
恶意的破坏,比如修改数据,删数据,删表等恶意破坏;
探查数据库类型,结构,获取数据库敏感数据,造成数据泄露;
修改数据库配置,控制服务器,进行恶意活动等
sql注入过程及危害,如图:
2.业界的案例
2011年6月,LulzSec的黑客组织攻击了索尼公司网站,并获取了100万用户的个人信息,包括用户名,密码,家庭住址,生日等一些敏感信息。造成了很大的影响。LulzSec组织声称入侵手段就是简单的SQL注入技术,通过SQL注入,就获取到了全部的敏感信息。
由此可以看出,SQL注入攻击的危害很多,其实最主要还是对系统的正常运行,数据安全等有很大的威胁,一旦造成敏感数据泄露,就将会是很严重的事件,也将会对公司的业务和声誉造成很大的影响。因此这就要求我们系统设计开发人员要有安全意识,系统设计和开发中就要做好防御策略,从而使系统更加健壮。
三.SQL注入防御策略
目前要的防御方案主要包括:参数化查询(预编译),输入验证,以及转码。各策略内容和措施如下:
单一的策略并不是最可靠的,需要多种防御策略结合使用,多重防御,提升防御的坚固性。建议采用如下方案:
SQL注入攻击原理及防御策略相关推荐
- 服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一.浏览器的同源策 ...
- 什么是SQL注入攻击?SQL注入攻击原理是什么?
SQL注入攻击是网络安全中非常常见的攻击方式之一,该攻击隐蔽性好.危害大.操作方便,也是各大企业及站长最容易遇到的攻击方式.那么SQL注入攻击原理是什么?如何防范?接下来跟着小编来看看吧. SQL注入 ...
- SQL注入攻击原理及防护方案
SQL注入攻击是对web应用程序最常见的攻击之一.它是一种恶意攻击,攻击者在向数据库服务器发送查询请求时,会在查询语句中添加恶意代码,从而对服务器造成损害.SQL注入攻击的目的是破坏服务器的安全性,通 ...
- SQL注入攻击的原理、分类和防御方法
一.SQL注入攻击原理 恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行. 二.SQ ...
- 防止SQL注入攻击的一些方法小结
SQL注入攻击的危害性很大.在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理.这有利于管理员采取有针对性的防治措施.一. SQL注入攻击的简单示例.statement := " ...
- SQL注入攻击及其防范检测技术研究
2008-12-18 来自:51CTO 作者:陈小兵 本文简要介绍了SQL注入攻击的原理,SQL注入攻击实现过程,并在此基础上给出了一种SQL注入攻击的自动防范模型. 1 SQL注入攻击概述 1 ...
- SQL注入攻击是什么?如何有效应对?
SQL注入攻击是网络安全中非常常见的攻击方式之一,该攻击隐蔽性好.危害大.操作方便,也是各大企业及站长最容易遇到的攻击方式.那么SQL注入攻击原理是什么?如何防范?接下来跟着小编来看看吧. SQL注入 ...
- 什么是sql注入攻击,它的原理及防御方法有哪些?
SQL注入攻击是一种利用Web应用程序对SQL语句的输入验证不严格的漏洞,将恶意代码插入到SQL语句中的攻击行为.通过这种攻击,攻击者可以绕过应用程序的认证和授权机制,直接访问数据库中的敏感信息,或者 ...
- Spring MVC防御CSRF、XSS和SQL注入攻击
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击). 说说CSRF 对CSRF来 ...
- SQL注入攻击及防御 手动注入+sqlmap自动化注入实战(网络安全学习12)
CONTENTS 1 项目实验环境 2 SQL注入概述 2.1 SQL注入简介 2.2 SQL注入的危害 3 SQL基础回顾 3.1 联合查询union 3.2 information_schema数 ...
最新文章
- php 返回一个json对象,PHP给前端返回一个JSON对象的实例讲解
- 浅析Block的内部结构 , 及分析其是如何利用 NSInvocation 进行调用
- EOJ_1015_查字典
- dedecms更改php目录名称,dedecms修改专题目录名称(路径)
- 倒计时 1 天 | 2019 中国大数据技术大会(BDTC)报名通道即将关闭(附参会提醒)...
- 物联网协议比较 MQTT CoAP RESTful/HTTP XMPP
- ubuntu20.10下mysql8数据库的安装(亲测)
- 附录 SpringBoot 默认的扫描包是哪个?
- 错误:找不到或无法加载主类
- matlab 编程——一些细节、常犯错误的汇总
- pku1631 Bridging signals
- 计算机指令集编程教程,PLC编程语言入门,常用指令集汇总分享
- 用g++编译cpp文件
- 怎样邀请别人加入企业微信?
- Windows update 注册表项
- ADS 常见问题及解决方法
- 《5G时代:生活方式和商业模式的大变革》读书笔记和总结
- 关于HyperLPR车牌检测使用笔迹
- Microsoft Exchange Server 2007: Tony Redmond's Guide to Successful Implementation
- Java案例:行走的圣诞老人