找回密码
 加入怎通
查看: 187|回复: 0

什么是sql注入,这些坑得避开(常见的sql注入技术)

[复制链接]
我来看看 发表于 2023-03-23 00:21:03 | 显示全部楼层 |阅读模式
" |5 W0 V& y" H9 Z* q' u' J

1、sql 注入是什么sql 注入就是用户通过输入的参数,拼接到原先的 sql 中,成为 sql 的一部分,从而影响 sql 的功能和执行结果2、sql 注入破坏力-小兵破坏力比如原先 sql 如下select

' Y$ R) g! A: C% s/ ` F

* fromuserwherename=用户名andpassword=密码;8 }4 O2 v% B) O$ Z! J; t! M 用户输入name:臻大虾-- 注释 8 S5 c* A6 V7 X2 X9 U5 L password:密码$ x' N" G* V8 c0 K! C8 E: N0 N 那最终的结果猜猜是什么?select * fromuserwhere

, G0 T7 E/ O$ I" `

name=臻大虾-- 注释 and password=密码;两个-- 代表注释,所以这条 sql 只需要输入用户名,就可以获取用户信息,跳过了密码的校验-boss 破坏力来个厉害的,比如用户输入以下参数

! U; j& l% \/ }7 @

name:臻大虾 % t8 M" q: d! Y0 f# c, T; B0 k password:; droptableuser;-- 注释最终的 sql:select * fromuserwherename=臻大虾andpassword=; droptableuser

, X0 t9 }% p1 a/ u/ ?

;-- 注释;user 表居然被删除了,看到这,此时的你可能想原地爆炸3、对策3.1、PreparedStatement 预编译使用预编译,这样传入的参数,会被当作字符串,也就是被引号包起来拿刚才的例子,用户输入。

( b1 q* I9 x% E& h+ @4 {

name:臻大虾-- 注释6 m: `8 t. [. J5 O password:密码 ) U9 f q! J# O) Z* [) K7 q+ D0 ] w# h& b 如果使用了预编译,那最终的 sqlselect * fromuserwherename=臻大虾\-- \注释 and password=密码;参数中的引号被转义,从而避免成为 sql 的一部分。

& N+ q5 H& v* M- p! Z

3.2、有些语句不能预编译预编译获取参数是根据#,而$ 是拼接的意思#{}:解析为预编译语句的一个参数占位符${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值比如传入:臻大虾 or 1=1

% A) S7 l$ H$ C# `7 u

1、SELECT * FROMuserWHEREname=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=12、SELECT * FROMuserWHERE

+ ^% x* s' b4 A; o( {5 M

name=${name} //SELECT * FROMuserWHEREname=臻大虾or1=1但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用则不会,所以有些人就直接使用还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?

6 i* x1 |1 q( t3 d) R2 _

likeselect * fromuserwherenamelike%#{name}% //会报错 : z9 l+ U8 Z @ select * fromuserwherenamelike%${name}% //正常6 i1 D! d4 S/ N ~8 g+ S$ m3 n6 f 正确写法使用 mysql 的字符串拼接函数 concat

' A* {' \& r7 g4 N# _ w, v; ~" L

select * fromuserwherenamelikeconcat(%,#{name},%)in正确写法,使用 foreach@Select("" + 9 P, ?" `; z; T0 B; B/ Z "select * from user where id in "

5 n9 r' X' z3 F" L M& g" v

+ / Q7 G$ R. x) R8 ] " " + # o" R$ ^) I9 X: W' R% K

% g" k# ?% ]( x" M% ~/ L

"#{item}" +& U' t h0 k8 z, I9 K ""+7 o' E' c4 i, Y! i "") - b: g- F5 b5 y: p List getByIds(@Param("userIds") List userIds); 4 K9 e* `* r" Z

2 O& y( F/ U j8 z( L

order by有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单比如List allowSortColumnList= Lists.newArrayList(

- [( z4 l7 e4 ]+ C

"age","score");# ?6 l6 q: x9 D9 C0 S$ ~ if(!allowSortColumnList.contains(sortParam)){ 1 @. w. u% ^& D0 ^% h thrownew RuntimeException("can not sort by "

7 M$ u2 _# j, e, @8 R* c

+sortParam); ' c0 w' G6 @, D, G0 j } : v! _" ~) j' t9 B7 \; W 总结了很多有关于java面试的资料,希望能够帮助正在学习java的小伙伴由于资料过多不便发表文章,创作不易,望小伙伴们能够给我一些动力继续创建更好的java类学习资料文章,。

$ j* {) K9 t" ]; T4 q$ t

请多多支持和关注小作,别忘了点赞+评论+转发。右上角私信我回复【03】即可领取免费学习资料谢谢啦!

/ S. L4 M3 g8 _/ g! c

原文出处:https://mp.weixin.qq.com/s/qW_sOabkx5kK4obuJXSAUw

& u! H- ~/ Z" q) o6 \' M* \, I( N1 u$ o , e3 `: b* v( y. i9 R$ i ; D' {1 u5 n0 i% f 8 T4 V* h4 E O+ O8 K+ [ c4 q/ H
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-7 11:06 , Processed in 0.046769 second(s), 24 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表