安全漏洞防御(3) WEB攻击手段及防御第2篇-SQL注入
概念
SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行。
简单的SQL注入的例子:
例1:test123456 or 1=1;
加上or 1=1,如果没有防止SQL注入,这样攻击者就能成功登录。
例2:test123456’;drop table xxx–
这样会删除一个表,–后面的就是注释
防御手段
1、禁止采用SQL拼接的形式
这也是最重要的一点,要采用参数化的形式。如mybatis参数占位符要使用##,它会给参数默认带上单引号,所有输入输入的字符当作一个参数来处理,而不是命令,不要使用$$,它不会带单引号有SQL注入的风险。
2、过滤或转义特殊字符
特殊字符包括如:单引号、杠等,或者使用正则表达式过滤如drop table、delete…、update…等危害数据库安全的请求,前后端都要采用措施。
3、数据库用户权利最小化
不要使用最大权限的管理员进行连接,为每个应用使用独立的所在库的账号进行连接,这样使权利最小化。
4、发生异常不要使用错误回显,
即显示默认的服务器500错误,把代码及表名信息直白显示在网页上,这样攻击者就能通过恶意操作使网页出现500错误从而看到数据库表名等内部信息。
5、加密存储敏感信息
用户敏感信息如身份证、手机号、邮箱、卡号等一定要加密存储,而且要妥善保密密钥。
安全漏洞防御(3) WEB攻击手段及防御第2篇-SQL注入相关推荐
- WEB攻击手段及防御-扩展篇
转载自 WEB攻击手段及防御-扩展篇 之前的文章介绍了常见的XSS攻击.SQL注入.CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方 ...
- WEB攻击手段及防御第1篇-XSS
概念 XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的 ...
- WEB攻击手段及防御第2篇-SQL注入
概念 SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行. 简单的SQL注入的例子: 例1:test123456 or ...
- WEB攻击手段及防御第3篇-CSRF
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器sessio ...
- 网络安全:常见攻击手段及防御
随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段. 1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 是一种常见的攻击手段之一,攻击者主要通 ...
- 常见的Web攻击手段,拿捏了!
大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...
- 常见的Web攻击手段-整理
整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠 ...
- 常见的攻击手段及其防御方式
本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击 ...
- Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
Nginx攻击防护.CC防护.防止SQL注入.防XSS的实践配置方法 防止SQL注入.XSS攻击 Nginx安全防护屏蔽那些恶意的IP和垃圾蜘蛛 nginx网站攻击防护 Nginx简单防御CC攻击 资 ...
最新文章
- Burt’s Bees 小蜜蜂纯天然杏仁牛奶蜂蜡护手霜,56g*2罐,$13.92
- OAuth2.0学习(1-9)新浪开放平台微博认证-web应用授权(授权码方式)
- 前端学习(1555):ng-app指令
- JVM第五部分 高效并发
- (pytorch-深度学习系列)使用softmax回归实现对Fashion-MNIST数据集进行分类-学习笔记
- Q六娱乐网整站源码分享
- [我总结]8月第二周总结
- 数据可视化如何做会更好
- 简谈触摸板程序的实现(一)
- 均匀分布、正态分布、二项分布、泊松分布、指数分布
- php 关注微信触发事件,微信api 关注事件
- 异步六进制加法计数器
- (实测可用)STM32CubeMX教程-STM32L431RCT6开发板(定时器Timer2)
- Matlab模型开发之——从建模规范开启旅程1 Simulink
- 学校计算机用房地面用什么材料,学校食堂地面防滑该用什么材料?
- 7只老鼠测试100个瓶子
- 最简单的音频剪切和合并
- 智慧教室系统--重点设备监控系统
- 大数据告诉你股权如何设计
- 环形文字拉直的两种方法:极坐标转换和薄板样条插值python代码示例
热门文章
- 企业怎么选择国产Web应用防火墙?
- 这是两个可以帮助减少电话费的Android工具
- 百度地图API之GPS坐标转换
- 计算机工具栏变宽怎么还原,win7工具栏变宽了怎么办_win7工具栏大小调整方法-win7之家...
- 怎么将文件名称批量提取?
- NodeJS_06_Mysql_Promise_json-server_http-server
- python通过批量经纬度生成标记地图生成
- Java 全功能开源办公软件O2OA V4.2698 稳定版发布
- php 固定资产源码,Assets 固定资产管理源代码!asp .net WEB(ASP,PHP,...) 274万源代码下载- www.pudn.com...
- JAVA练习203-航班预订统计