质量小议35 -- SQL注入

    已经记不得上次用到SQL注入是什么时候了,一些概念和操作已经模糊。
    最近与人聊起SQL注入,重新翻阅,暂记于此。

    重点:敏感信息、权限过大、未脱敏的输入/输出、协议、框架、数据包、明文、安全意识

  1. SQL
    - Structured Query Language,结构化查询语言
    - 数据库操作指令集,包括了所有对数据库的操作
    - 数据定义、数据操纵、数据查询、数据控制、事务控制以及嵌入式SQL语言的使用规定组成。
      * 数据定义,DDL,定义数据库的逻辑结构(数据库、基本表、视图、索引)
      * 数据操纵,DML,包括插入(insert)、删除(delete)、更新(update)操作
      * 数据查询,DQL,包括数据查询(select)操作
    ,CRUD:增加(Create)、读取(Read)、更新(Update)、删除(Delete)
      * 数据控制,DCL,用户访问数据的控制赋权和回收
      * 事务控制,TCL,事务的提交与回滚
  2. 什么是SQL注入
    - SQL注入,SQL Injection
    - SQL 注入是一种常见的安全漏洞,是一种网络安全攻击方式
    - 出现在数据库交互应用程序中,来自系统操作者非法的数据库输入
    - 将非授权的/恶意的SQL代码加入到应用程序SQL操作中,形成非授权的SQL操作
    - 执行未经授权的数据库操作(分析/查询/删除/更新)
    - 导致数据库信息泄漏、丢失,造成客户信息被非法使用
  3. SQL注入的危害
    目的:获取非正当利益,损害客户正当收益
    - 数据泄露,绕过/猜解系统身份验证,非法获取客户数据库信息(敏感信息)
    - 数据篡改,更改或破坏客户数据库信息存储
    - 数据攻击,清除数据库数据或永久的删除数据库存储结构
  4. SQL注入存在的可能性
    重要:系统开发者安全意识不强,造成SQL注入的安全漏洞存在
    - SQL组装过程中暴露了系统敏感信息接口
    - 系统未对用户输入进行安全校验
    - 使用动态拼装sql,参数以明文形式(未做加密)出现在URL链接中
    - 未做权限限制,使用管理员权限(权限大,未分级)作为应用程序数据库连接
    - 应用系统传输和显示信息未加密、未脱敏,特别是重要的用户、权限信息
    - 应用程序异常信息未经过滤,使用后台(服务器/数据库)返回值,错误提示过分精确
  5. 数据传输交互过程

    - 数据由输入起,经业务逻辑处理后,到数据库获取 合理 数据
    - 输入包括:前台页面输入、选择,触发数据查询、更新、删除操作;后台未经处理的代码信息,页面源代码展示
    - 数据包括:正常过程数据 和 异常系统访问数据
    - 数据SQL注入安全过滤
      * 按程序设计要求,数据输入、业务逻辑、数据访问都应对数据获取的权限、合法性、合理性进行控制和处理
      * 返回数据同样需经过加密或脱敏处理后才会被传送并显示给用户
      * 每个阶段对数据的安全性处理会有交集和重叠,但不允许出现缺失
  6. SQL注入方式
    重点:将外部输入 与 系统数据处理SQL结合,构成新的SQL,以“欺骗”数据库,获取非法/正常不可得的数据
    - 输入类型:数字、字符
    - 布尔,数据处理为真 或 假,以绕过数据库验证
      * 1=1 真   或   1=2 假,and 或 or 构成新SQL形成SQL注入
      * ‘ 和 “ 字符串处理
      * 注释符处理
      * 通配符处理:* % ? $(不同类型数据库会有不同)
      * 模糊查询:like, in, exit......
      * union 合并新的SQL到系统SQL
    - 试错或盲注(通过输入后系统返回错误提示对数据库数据结构和存储进行猜测)
      * 注动试错引发数据库错误,利用系统异常返回值对数据库进行猜测
      * 数据库查询函数
        > 表的列数: .... order by 1(替换不同数字,得到真假分界限)
        > left / right / length(列名)=4(替换不同数字,得到真假分界限)
  7. 如何避免SQL注入
    重点:破坏 / 避免新的输入 与 系统SQL构成有效的、可执行的新SQL,加密,避免明文SQL
    - 特殊字符处理:使用正则表达式对数据保留字符进行处理,如 特殊字符(',"),通配符(* % ? $),系统函数(like,union,in,length)
    - 参数化数据输入:数据输入后,经put / get / post处理,需增加转译或加密处理,通过占位符形式避免真正的输入做为参数直接被SQL引用,特别是以明文形式展现给系统操作者
    - 输入验证:前台UI、业务逻辑、数据库存取,各数据处理阶段分别、独立的对输入数据进行有效性、安全性验证,通过层层过滤增强SQL数据处理的安全性
    - 减少手动拼接SQL:使用数据处理框架(ORM关系映射,如hibernate)、存储过程,将数据集中处理、打包后处理及返回结果
    - 权限最小化:避免数据库管理员帐号在系统应用的直接使用,将数据增、删、改、查分配给不同的系统用户提供给系统接口调用
    - 安全扫描:开发者的代码安全意识,安全扫描以对代码进行全面安全测试
  8. SQL注入代码示例
    这个。。。后续有时间再研究后补充
    - 对SQL注入的了解只是皮毛
    - 对SQL注入的开发和测试已经是很久之前的事情,并不深入
    - 安全扫描工具的强大,使得代码安全错误可以按扫描方案进行更新
    - 安全从架构、设计开始。。。有编码的安全规范,使用成形框架,安全意识真的弱
    - 代码安全是个大问题,却被忽视

select * from users wher username = 'test'
select * from users wher username = 'test' or 1=1 order by 3

参考

  • SQL 注入 - SQL Server | Microsoft Learn
  • sql注入 - 知乎
  • Sql注入基础原理介绍 - 知乎
  • 安全测试 | SQL注入(SQL Injection)技术 - 知乎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/209840.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

打破卫浴行业冰山!九牧重构高端服务品牌“点线面”新秩序

文 | 螳螂观察 作者 | 余一 说到服务,你首先会想到哪个品牌?海底捞大概率会是其中之一。 一个餐饮品牌,不靠价格、口味出圈,而是凭借服务走向全球市场,古往今来或许也是头一家了,而无微不至的的服务&…

设计模式-结构型模式之桥接设计模式

文章目录 三、桥接模式 三、桥接模式 桥接模式(Bridge)是用于把抽象化与实现化解耦,使得二者可以独立变化。它通过提供抽象化和实现化之间的桥接结构,来实现二者的解耦。 这种模式涉及到一个作为桥接的接口,使得实体类…

MySQL安装

目录 MySQL简介 MySQL安装 连接MySQL数据库 MySQL简介 MySQL是最流行的关系型数据库管理系统之一,属于Oracle旗下产品。由于其体积小、速度快、总体拥有成本低,尤其是开放源码这一特点,一般中小型和大型网站的开发都选择 MySQL作为网站数据…

JVM:双亲委派(未完结)

类加载 定义 一个java文件从编写代码到最终运行,必须要经历编译和类加载的过程,如下图(图源自b站视频up主“跟着Mic学架构”)。 编译就是把.java文件变成.class文件。类加载就是把.class文件加载到JVM内存中,得到一…

使用Docker安装部署Swagger Editor并远程访问编辑API文档

文章目录 Swagger Editor本地接口文档公网远程访问1. 部署Swagger Editor2. Linux安装Cpolar3. 配置Swagger Editor公网地址4. 远程访问Swagger Editor5. 固定Swagger Editor公网地址 Swagger Editor本地接口文档公网远程访问 Swagger Editor是一个用于编写OpenAPI规范的开源编…

UE5 - 虚幻引擎各模块流程图

来自虚幻官方的一些资料,分享一下; 一些模块的流程图,比如动画模块: 或角色相关流程: 由于图片比较大,上传到了网络,可自取: 链接:https://pan.baidu.com/s/1BQ2KiuP08c…

GitHub项目推荐-Deoldify

有小伙伴推荐了一个老照片上色的GitHub项目,看了简介,还不错,推荐给大家。 项目地址 GitHub - SpenserCai/sd-webui-deoldify: DeOldify for Stable Diffusion WebUI:This is an extension for StableDiffusions AUTOMATIC1111 w…

Allegro无法模块复用的解决办法

Allegro无法模块复用的解决办法 在用Allegro做PCB设计的时候,模块复用是使用的比较频繁的功能,对于有相同模块的单板,可以节省大量的时间。 模块复用的功能不细说,具体参考以前的文章。 有时会遇到模块复用的时候出现如下报错 无法匹配,有时如果因为Device而无法复用,就…

SWD和JTAG

1、调试接口概念 1)SWD:Serial Wire Debug,代表串行线调试,是ARM设计的协议,用于对其微控制器进行编程和调试。 SWD 引脚: SWDIO–串行数据线,用于数据的读出和写入SWDCLK–串行时钟线&#…

实现用户登陆

输入用户名和密码,如果输入用户名和密码正确,允许登录 编程过程中采用字符串拉接。 SQL注入,当使用拼接的sql语句. 输入密码时把语句拼接成or,or后面跟上一个条件正确的式子。 Java 防止sql注入,预编译手段&#xff…

使用Pytorch从零开始实现CLIP

生成式建模知识回顾: [1] 生成式建模概述 [2] Transformer I,Transformer II [3] 变分自编码器 [4] 生成对抗网络,高级生成对抗网络 I,高级生成对抗网络 II [5] 自回归模型 [6] 归一化流模型 [7] 基于能量的模型 [8] 扩散模型 I, 扩散模型 II…

Python按要求从多个txt文本中提取指定数据

基本想法 遍历文件夹并从中找到文件名称符合我们需求的多个.txt格式文本文件,并从每一个文本文件中,找到我们需要的指定数据,最后得到所有文本文件中我们需要的数据的集合 举例 如现有名为file一个文件夹,里面含有大量的.txt格…

浅谈用户体验测试的主要功能

用户体验(User Experience,简称UX)在现代软件和产品开发中变得愈发重要。为了确保产品能够满足用户期望,提高用户满意度,用户体验测试成为不可或缺的环节。本文将详细探讨用户体验测试的主要功能,以及它在产品开发过程中的重要性。…

ArcGIS制作广场游客聚集状态及密度图

文章目录 一、加载实验数据二、平均最近邻法介绍1. 平均最近邻工具2. 广场游客聚集状态3. 结果分析三、游客密度制图一、加载实验数据 二、平均最近邻法介绍 1. 平均最近邻工具 “平均最近邻”工具将返回五个值:“平均观测距离”、“预期平均距离”、“最近邻指数”、z 得分和…

【Java】使用IntelliJ IDEA搭建SSM(MyBatis-Plus)框架并连接MySQL数据库

步骤 0 准备工作1 创建Maven项目2 配置Maven依赖3 配置数据源4 项目结构5 创建实体类6 创建数据访问层7 创建服务层8 创建Controller层9 启动项目10 使用Postman测试接口 0 准备工作 下载并安装 IntelliJ IDEA下载并安装 MySQL 数据库下载并安装Postman测试工具使用 Navicat 创…

leetCode 93.复原 IP 地址 + 回溯算法 + 图解 + 笔记

93. 复原 IP 地址 - 力扣(LeetCode) 有效 IP 地址 正好由四个整数(每个整数位于 0 到 255 之间组成,且不能含有前导 0),整数之间用 . 分隔。 例如:"0.1.2.201" 和 "192.168.1.1…

Redis之秒杀系统

目录 Redis 秒杀 Mysql数据库设计 Mysql秒杀实现 MysqlRedis秒杀实现 秒杀是一种高并发场景,通常指的是在短时间内(秒级别)有大量用户同时访问某个商品或服务,争相抢购的情景。在这种情况下,系统需要处理大量并发请…

SQL Server 数据库,创建数据表

2.3表的基本概念 表是包含数据库中所有数据的数据库对象。数据在表中的组织方式与在电子表格中相似,都是 按行和列的格式组织的,每行代表一条唯一的记录,每列代表记录中的一个字段.例如,在包含公 司员工信息的表中,每行…

深圳市左下右上百度坐标

爬取百度POI的时候,别人的代码中有提到左下,右上坐标,但是没有说从哪里来,而且还是百度的坐标。 经纬度:左下角,右上角:113.529103,37.444122;115.486183,38.768031 墨卡托坐标:左下角,右上角:12638139.45,…

练习十二:利用SRAM设计一个FIFO

利用SRAM设计一个FIFO 1,任务目的2,设计要求3,FIFO接口的设计思路4,FIFO接口的测试,top.v5,FIFO接口的参考设计,fifo_interface.v6,SRAM模型,sram.v代码7,viv…