防sql注入的网站登录系统设计与实现

课程名称

网络安全

大作业名称

防sql注入的网站登录系统设计与实现

姓名

学号

班级

  1. 结合mysql数据库设计一个web登录页面
  2. 密码需密文存放(可以采用hash方式,建议用sha1或md5加盐)
  3. 采用服务器端的验证码(防止bp爆破)或token方式
  4. 对同一ip地址登录错误超过3次,暂停5分钟(防止bp爆破,sqlmap爆破)
  5. 能够防住简单注入和宽字节注入(需有测试的案例)
  6. 能够基本防住手动注入和sqlmap攻击(需有测试的案例)
  7. 能够防止sql注入原因分析
  8. 课程心得体会、建议。  

SQL注入详解(全网最全,万字长文)-CSDN博客

  1. 结合mysql数据库设计一个web登录页面
  1. 密码需密文存放(可以采用hash方式,建议用sha1或md5加盐)

String newPwdMD5 = DigestUtils.md5DigestAsHex(newPwd.getBytes(StandardCharsets.UTF_8));

  1. 采用服务器端的验证码(防止bp爆破)或token方式

public class GenerateCaptchaServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException, IOException {
       int width = 150;
       int height = 50;
       BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
       Graphics2D g2d = image.createGraphics();
       g2d.setColor(Color.WHITE);
       g2d.fillRect(0, 0, width, height);
       g2d.setFont(new Font("Arial", Font.BOLD, 30));
       Random random = new Random();
       int captchaValue = random.nextInt(9000) + 1000;
       String captcha = String.valueOf(captchaValue);
       g2d.setColor(Color.BLACK);
       g2d.drawString(captcha, 20, 35);
       request.getSession().setAttribute("captcha", captcha);
       response.setContentType("image/png");
       ImageIO.write(image, "png", response.getOutputStream());
    }
}

if (!enteredCaptcha.equals(storedCaptcha)) {
    session.setAttribute("msg", "验证码错误");
    incrementErrorCount(ipAddress, request, response);
    return;
}

  1. 对同一ip地址登录错误超过3次,暂停5分钟(防止bp爆破,sqlmap爆破)

在登录的时候先检查IP有没有被停用,然后接着就是检测验证码,账户,密码,只要错误就调用incrementErrorCount。

IpErrorCounts是一个HashMap用于记录相应ip的错误次数。

pausedIps用于记录停用时间

private void incrementErrorCount(String ipAddress, HttpServletRequest request, HttpServletResponse response) throws IOException {
    Integer errorCount = ipErrorCounts.getOrDefault(ipAddress, 0);
    errorCount++;
    ipErrorCounts.put(ipAddress, errorCount);
    // 如果错误次数超过 3 次,暂停 IP
    if (errorCount > 3) {
       pausedIps.put(ipAddress, new Date());
    }
    response.sendRedirect(request.getContextPath() + "/goat.jsp");
}

// 获取 IP 地址
String ipAddress = request.getRemoteAddr();

// 检查 IP 是否被暂停(这里的pausedlps是一个HashMap)
if (pausedIps.containsKey(ipAddress)) {
    Date pauseStartTime = pausedIps.get(ipAddress);
    Date currentTime = new Date();
    long timeDiff = currentTime.getTime() - pauseStartTime.getTime();
    long fiveMinutesInMillis = 5 * 60 * 1000;
    if (timeDiff < fiveMinutesInMillis) {
       HttpSession session = request.getSession();
       session.setAttribute("msg", "你的 IP 因多次登录失败被暂停,请 5 分钟后再试。");
       response.sendRedirect(request.getContextPath() + "/goat.jsp");
       return;
    } else {
       pausedIps.remove(ipAddress);
    }
}

  1. 能够防住简单注入和宽字节注入(需有测试的案例)

其实sql注入说白了,就是需要到达数据库那个层面才能发挥作用,我直接正则限制输入再加上输入不符合就直接阻止事件的发生,干掉。

const emailRegex = /^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+$/;
const numberRegex = /^\d+$/;

loginBtn.click(function (event) {
    let username = userName.val();
    let pwd = passWord.val();
    let captcha = captchaInput.val();
    if (username === "" || pwd === "" || captcha === "") {
        error.text("存在未填写的信息,请输入");
        event.preventDefault();
        return false;
    }
    else if(!emailRegex.test(username)){
        error.text("邮箱格式错误");
        event.preventDefault();
    }
    else if(!numberRegex.test(pwd)){
        error.text("密码格式错误");
        event.preventDefault();
    }
});

宽字节注入:

攻击者输入用户名 admin%df' or 1=1-- 和任意密码,当应用程序将这个用户名拼接到 SQL 查询中时,由于数据库连接使用了宽字节字符编码(如 GBK),%df'会被解释为一个汉字,从而绕过了单引号的过滤。

  1. 能够基本防住手动注入和sqlmap攻击(需有测试的案例)

手工注入:

在知道邮箱(账户)的情况下可以使用

第一张图片解析(个人理解):

我这里先假设我前端没有用正则会是什么情况

点击登录后的数据库语句

select * from reader where email = ‘taotao@qq.com’#’

select * from reader where email = ‘taotao@qq.com’#’ and pwd=’...’

第一张图片:

在数据库中#代表的是注释,#后面的就不用管了

这里可以讨论一下以上两种登录方式:

第一种是先根据用户名来找到一个对象,然后在判断密码是否正确的,这种就能防止现在这种情况的注入。

但是第二种是直接查,这种密码是多少都可以,只要邮箱正确就行,明显防止不了。当然如果在后面又加了判断密码也可以防止,但是这样的话,相较于第一种代码量增加,还浪费了资源(查了两个字段,为了防止注入,还要复制第一种写法后面的代码,多了判断)

第二种图片:

有同学自己可能写了一下,感觉不行,觉得密码不对过不了,觉得是从左到右先or然后在and,那就错了

select * from reader where email = ‘taotao@qq.com’or’1’=’1’ and pwd=’...’

在数据库中,and的优先级比or高,所以语句可以这样表示:

select * from reader where (email = ‘taotao@qq.com’)or(’1’=’1’ and pwd=’...’)

是先and然后在or,一目了然

当然如果直接正则限制输入,那这种注入都到不了数据库那一层面,直接限制到了前端,请求都发不过去。

Sqlmap攻击:

sqlmap基础知识_sqlmap简介-CSDN博客

最直接的方法直接不使用关系型数据库,用Nosql。(开玩笑)

在查询了相关资料后,了解到这种注入方式居然可以直接绕过前端的检测,牛的,那这直接打破我的认知,又要思考了。。。。。那就加后端检测吧。查资料(应该在后端服务器端进行严格的输入验证和 SQL 注入防范措施,如使用参数化查询、输入过滤和转义等技术,以确保数据库的安全。)。

那就直接在后端也搞正则检测。

这个没有进行实操过,当然也不太清楚怎么去实操,没了解过。

  1. 能够防止sql注入原因分析

Sql注入无非就是写一段sql代码来插入到一些sql语句当中,利用#、’等符号来实现一些不可思议的作用,所以对于输入的检测、过滤是必要的。

前端我是用的正则表达式来判断输入的东西,并且不符合就阻止事件的发生(请求),而且我后端是先根据输入的东西找到一个对象,再去判断其他的。当然post请求也发挥着作用,毕竟如果是get请求url就直接显示相关信息了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/437728.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C(十)for循环 --- 黑神话情景

前言&#xff1a; "踏过三界宝刹&#xff0c;阅过四洲繁华。笑过五蕴痴缠&#xff0c;舍过六根牵挂。怕什么欲念不休&#xff0c;怕什么浪迹天涯。步履不停&#xff0c;便是得救之法。" 国际惯例&#xff0c;开篇先喝碗鸡汤。 今天&#xff0c;杰哥写的 for 循环相…

笔记整理—linux进程部分(6)进程间通信、alarm和pause

两个进程间通信可能是任何两个进程间的通信&#xff08;IPC&#xff09;。同一个进程是在同一块地址空间中的&#xff0c;在不同的函数与文件以变量进程传递&#xff0c;也可通过形参传递。2个不同进程处于不同的地址空间&#xff0c;要互相通信有难度&#xff08;内存隔离的原…

【H2O2|全栈】关于CSS(9)CSS3扩充了哪些新鲜的东西?(二)

目录 CSS3入门 前言 准备工作 伪元素补充 :before :after 文本溢出属性 转换效果 预告和回顾 后话 CSS3入门 前言 本系列博客主要介绍CSS相关的知识点。 这一期主要介绍以下几个CSS3的知识点&#xff1a; 伪元素补充文本溢出属性转换 没有基础的朋友&#xff…

怎样过好国庆节

今天是2024年10月1号&#xff0c;国庆节&#xff0c;七天小长假&#xff0c;估计每个人都有自己的小计划。有想出去浪的&#xff0c;有想闭关修炼的&#xff0c;有想约会恋爱的&#xff0c;也有想回家看父母的&#xff0c;只要有事干&#xff0c;有想法&#xff0c;有行动&…

ArcGIS共享数据的最佳方法(不丢可视化、标注等各类显示信息一样带)

今天我们介绍一下ArcGIS数据共享的几个小妙招 我们时常要把数据发给对方&#xff0c;特别是很多新手朋友要将shp发给对方时只是发送了shp后缀的文件&#xff0c;却把shp的必要组成文件dbf、shx等等给落下了。 还有很多朋友给图层做好了符号化标注&#xff0c;但是数据一发给别…

源2.0全面适配百度PaddleNLP,大模型开发开箱即用

近日&#xff0c;源2.0开源大模型与百度PaddleNLP完成全面适配。用户通过PaddleNLP&#xff0c;可快速调用源2.0预训练大模型&#xff0c;使用源2.0在语义、数学、推理、代码、知识等方面的推理能力&#xff0c;也可以使用特定领域的数据集对源2.0 进行微调&#xff0c;训练出适…

【设计模式-中介者模式】

定义 中介者模式&#xff08;Mediator Pattern&#xff09;是一种行为设计模式&#xff0c;通过引入一个中介者对象&#xff0c;来降低多个对象之间的直接交互&#xff0c;从而减少它们之间的耦合度。中介者充当不同对象之间的协调者&#xff0c;使得对象之间的通信变得简单且…

IT新秀系列:Go语言的兴起

Go语言&#xff08;Golang&#xff09;由谷歌于2007年发起&#xff0c;并于2009年正式开源。它的诞生背景可以追溯到互联网技术的高速发展时期。那时&#xff0c;软件开发面临着多核计算、大规模并发处理、部署和维护效率低下等挑战。作为一种新型的编程语言&#xff0c;Go主要…

图解大模型计算加速系列:vLLM源码解析2,调度器策略(Scheduler)

在本系列对vLLM的介绍中&#xff0c;都会按照 “宏观&#xff08;图解&#xff09; -> 细节&#xff08;配合源码&#xff09;” 的方式&#xff0c;先理清vLLM在这里想做什么事&#xff0c;为什么要这么做&#xff0c;然后再一起来看各小块的代码实现。 【全文目录如下】 …

【ubuntu】【VirtualBox】VirtualBox无法加载USB移动设备的解决方法(支持U盘启动盘)

TOC 提示&#xff1a;测试可用 一、安装VirtualBox VirtualBox-7.1.2-164945-Win。 下载路径。 Download_Old_Builds_7_0 – Oracle VirtualBox 二、安装Oracle_VirtualBox_Extension_Pack-7.1.2 下载路径见上文。 三、安装增强功能 四、挂载USB 4.1 设置USB协议 4.2 挂…

AlmaLinux 9 安装mysql8.0.38

文件下载 https://cdn.mysql.com//Downloads/MySQL-8.0/mysql-8.0.39-linux-glibc2.12-x86_64.tar 选择合适系统版本 下载后解压 tar -xvf mysql-8.0.39-linux-glibc2.12-x86_64.tar解压后里面有三个文件夹 使用mysql-8.0.39-linux-glibc2.12-x86_64.tar.xz即可&#xff0c…

ubuntu 开启root

sudo passwd root#输入以下命令来给root账户设置密码 sudo passwd -u root#启用root账户 su - root#要登录root账户 root 开启远程访问&#xff1a; 小心不要改到这里了&#xff1a;sudo nano /etc/ssh/ssh_config 而是&#xff1a;/etc/ssh/sshd_config sudo nano /etc/ssh…

Qt Creator安卓环境配置【筑基篇】

1.前言 由于我的Qt Creator目前就先的14版本IDE老是存在各种莫名奇妙的bug&#xff0c;我都已经成为官方Qt Forum官方论坛的常客了。有一说一新版本的各种设置不小心误触是真的坑死人。不说了给我小主机配置安卓环境了。小主机系统版本window11-23H,Qt-Creator版本是13.01版本…

Python入门--判断语句

目录 1. 布尔类型和比较运算符 2. if语句的基本格式 3. if-else语句 4. if-elif-else语句 5. 判断语句的嵌套 6. 应用--猜数字游戏 进行逻辑判断&#xff0c;是生活中常见的行为。同样&#xff0c;在程序中&#xff0c;进行逻辑判断也是最为基础的功能。 1. 布尔类型和比…

yolov8/9/10模型在安全帽、安全衣检测中的应用【代码+数据集+python环境+GUI系统】

yolov8910模型安全帽、安全衣检测中的应用【代码数据集python环境GUI系统】 yolov8/9/10模型在安全帽、安全衣检测中的应用【代码数据集python环境GUI系统】 背景意义 安全帽和安全衣在工业生产、建筑施工等高风险作业环境中是保护工人免受意外伤害的重要装备。然而&#xff0…

计算机网络:计算机网络体系结构 —— OSI 模型 与 TCP/IP 模型

文章目录 计算机网络体系结构OSI 参考模型TCP/IP 参考模型分层的必要性物理层的主要问题数据链路层的主要问题网络层的主要问题运输层的主要问题应用层的主要问题 分层思想的处理方法发送请求路由器转发接受请求发送响应接收响应 计算机网络体系结构 计算机网络体系结构是指将…

HCIP-HarmonyOS Application Developer 习题(四)

1、以下哪个Harmonyos的AI能力可以提供文档翻拍过程中的辅助增强功能? A.文档检测矫正 B.通用文字识别 C.分词 D.图像超分辨率 答案&#xff1a;A 分析&#xff1a;文档校正提供了文档翻拍过程的辅助增强功能&#xff0c;包含两个子功能&#xff1a; 文档检测&#xff1a;能够…

基础岛第3关:浦语提示词工程实践

模型部署 使用下面脚本测试模型 from huggingface_hub import login, snapshot_download import osos.environ[HF_ENDPOINT] https://hf-mirror.comlogin(token“your_access_token")models ["internlm/internlm2-chat-1_8b"]for model in models:try:snapsh…

【YOLO目标检测吸烟检测数据集】共6097张、已标注txt格式、有训练好的yolov5的模型

目录 说明图片示例 说明 数据集格式&#xff1a;YOLO格式 图片数量&#xff1a;6097 标注数量(txt文件个数)&#xff1a;6097 标注类别数&#xff1a;1 标注类别名称&#xff1a;smoke 数据集下载&#xff1a;吸烟检测数据集 图片示例 数据集图片&#xff1a; 数据集…

IP6537_C_30W20V--移动设备快充的得力助手,集成 14 种快充协议的降压 SoC

IP6537_C_30W20V是一款集成同步开关的降压转换器、支 持 14 种输出快充协议、支持 Type-C 输出和 USB PD2.0/PD3.0(PPS)协议的 SoC&#xff0c;为车载充电器、 快充适配器、智能排插提供完整的解决方案。 IP6537_C_30W20V支持 USB Type-C 或者 USB A 输出&#xff0c; 5V 输出功…