质量小议35 -- SQL注入

    已经记不得上次用到SQL注入是什么时候了,一些概念和操作已经模糊。
    最近与人聊起SQL注入,重新翻阅,暂记于此。

    重点:敏感信息、权限过大、未脱敏的输入/输出、协议、框架、数据包、明文、安全意识

  1. SQL
    - Structured Query Language,结构化查询语言
    - 数据库操作指令集,包括了所有对数据库的操作
    - 数据定义、数据操纵、数据查询、数据控制、事务控制以及嵌入式SQL语言的使用规定组成。
      * 数据定义,DDL,定义数据库的逻辑结构(数据库、基本表、视图、索引)
      * 数据操纵,DML,包括插入(insert)、删除(delete)、更新(update)操作
      * 数据查询,DQL,包括数据查询(select)操作
    ,CRUD:增加(Create)、读取(Read)、更新(Update)、删除(Delete)
      * 数据控制,DCL,用户访问数据的控制赋权和回收
      * 事务控制,TCL,事务的提交与回滚
  2. 什么是SQL注入
    - SQL注入,SQL Injection
    - SQL 注入是一种常见的安全漏洞,是一种网络安全攻击方式
    - 出现在数据库交互应用程序中,来自系统操作者非法的数据库输入
    - 将非授权的/恶意的SQL代码加入到应用程序SQL操作中,形成非授权的SQL操作
    - 执行未经授权的数据库操作(分析/查询/删除/更新)
    - 导致数据库信息泄漏、丢失,造成客户信息被非法使用
  3. SQL注入的危害
    目的:获取非正当利益,损害客户正当收益
    - 数据泄露,绕过/猜解系统身份验证,非法获取客户数据库信息(敏感信息)
    - 数据篡改,更改或破坏客户数据库信息存储
    - 数据攻击,清除数据库数据或永久的删除数据库存储结构
  4. SQL注入存在的可能性
    重要:系统开发者安全意识不强,造成SQL注入的安全漏洞存在
    - SQL组装过程中暴露了系统敏感信息接口
    - 系统未对用户输入进行安全校验
    - 使用动态拼装sql,参数以明文形式(未做加密)出现在URL链接中
    - 未做权限限制,使用管理员权限(权限大,未分级)作为应用程序数据库连接
    - 应用系统传输和显示信息未加密、未脱敏,特别是重要的用户、权限信息
    - 应用程序异常信息未经过滤,使用后台(服务器/数据库)返回值,错误提示过分精确
  5. 数据传输交互过程

    - 数据由输入起,经业务逻辑处理后,到数据库获取 合理 数据
    - 输入包括:前台页面输入、选择,触发数据查询、更新、删除操作;后台未经处理的代码信息,页面源代码展示
    - 数据包括:正常过程数据 和 异常系统访问数据
    - 数据SQL注入安全过滤
      * 按程序设计要求,数据输入、业务逻辑、数据访问都应对数据获取的权限、合法性、合理性进行控制和处理
      * 返回数据同样需经过加密或脱敏处理后才会被传送并显示给用户
      * 每个阶段对数据的安全性处理会有交集和重叠,但不允许出现缺失
  6. SQL注入方式
    重点:将外部输入 与 系统数据处理SQL结合,构成新的SQL,以“欺骗”数据库,获取非法/正常不可得的数据
    - 输入类型:数字、字符
    - 布尔,数据处理为真 或 假,以绕过数据库验证
      * 1=1 真   或   1=2 假,and 或 or 构成新SQL形成SQL注入
      * ‘ 和 “ 字符串处理
      * 注释符处理
      * 通配符处理:* % ? $(不同类型数据库会有不同)
      * 模糊查询:like, in, exit......
      * union 合并新的SQL到系统SQL
    - 试错或盲注(通过输入后系统返回错误提示对数据库数据结构和存储进行猜测)
      * 注动试错引发数据库错误,利用系统异常返回值对数据库进行猜测
      * 数据库查询函数
        > 表的列数: .... order by 1(替换不同数字,得到真假分界限)
        > left / right / length(列名)=4(替换不同数字,得到真假分界限)
  7. 如何避免SQL注入
    重点:破坏 / 避免新的输入 与 系统SQL构成有效的、可执行的新SQL,加密,避免明文SQL
    - 特殊字符处理:使用正则表达式对数据保留字符进行处理,如 特殊字符(',"),通配符(* % ? $),系统函数(like,union,in,length)
    - 参数化数据输入:数据输入后,经put / get / post处理,需增加转译或加密处理,通过占位符形式避免真正的输入做为参数直接被SQL引用,特别是以明文形式展现给系统操作者
    - 输入验证:前台UI、业务逻辑、数据库存取,各数据处理阶段分别、独立的对输入数据进行有效性、安全性验证,通过层层过滤增强SQL数据处理的安全性
    - 减少手动拼接SQL:使用数据处理框架(ORM关系映射,如hibernate)、存储过程,将数据集中处理、打包后处理及返回结果
    - 权限最小化:避免数据库管理员帐号在系统应用的直接使用,将数据增、删、改、查分配给不同的系统用户提供给系统接口调用
    - 安全扫描:开发者的代码安全意识,安全扫描以对代码进行全面安全测试
  8. SQL注入代码示例
    这个。。。后续有时间再研究后补充
    - 对SQL注入的了解只是皮毛
    - 对SQL注入的开发和测试已经是很久之前的事情,并不深入
    - 安全扫描工具的强大,使得代码安全错误可以按扫描方案进行更新
    - 安全从架构、设计开始。。。有编码的安全规范,使用成形框架,安全意识真的弱
    - 代码安全是个大问题,却被忽视

select * from users wher username = 'test'
select * from users wher username = 'test' or 1=1 order by 3

参考

  • SQL 注入 - SQL Server | Microsoft Learn
  • sql注入 - 知乎
  • Sql注入基础原理介绍 - 知乎
  • 安全测试 | SQL注入(SQL Injection)技术 - 知乎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/217139.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

时间序列预测实战(二十三)进阶版LSTM多元和单元预测(课程设计毕业设计首选)

一、本文介绍 本篇文章给大家带来的是利用我个人编写的架构进行LSTM模型进行时间序列建模(专门为了时间序列领域新人编写的架构,简单且不同于市面上大家用GPT写的代码),包括结果可视化、支持单元预测、多元预测、模型拟合效果检测…

(C++)盛水最多的容器--双指针法

个人主页:Lei宝啊 愿所有美好如期而遇 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台备战技术面试?力扣提供海量技术面试资源,帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。https://le…

软著项目推荐 深度学习图像风格迁移

文章目录 0 前言1 VGG网络2 风格迁移3 内容损失4 风格损失5 主代码实现6 迁移模型实现7 效果展示8 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 深度学习图像风格迁移 - opencv python 该项目较为新颖,适合作为竞赛课题…

【ArcGIS Pro微课1000例】0048:深度学习--人群计数

文章目录 一、小学回忆录二、深度学习计算人头数三、案例实现一、小学回忆录 加载配套实验数据包中的图片及训练模型。你还记得当年的小学毕业班有多少同学吗?今天我们就用ArcGIS提供的人工智能工具,重温一下童年记忆。 二、深度学习计算人头数 本案例使用到的是深度学习中…

[树莓派3B+][内核版本6.1]的linux内核编译+替换 (超详细)

学习Linux的内核编译,我使用的是x86 64位的18.04的ubuntu-linux虚拟机: 目录 树莓派的Linux内核源码安装 操作系统的启动过程 & Bootloader 单片机裸机:C51,STM32 X86,Intel:windows 嵌入式产品:…

CUDA简介——同步

1. 引言 前序博客: CUDA简介——基本概念CUDA简介——编程模式CUDA简介——For循环并行化CUDA简介——Grid和Block内Thread索引CUDA简介——CUDA内存模式 本文重点关注Thread同步和Barriers。 Threads并行执行,可能存在如下问题: 1&#…

芯擎科技与芯华章深度合作,软硬件协同开发加速车规级芯片创新

12月4日,系统级验证EDA解决方案提供商芯华章,与国产高端车规芯片设计公司芯擎科技正式建立战略合作。双方强强联手,芯擎科技导入芯华章相关EDA验证工具,赋能车规级芯片和应用软件的协同开发,助力大规模缩短产品上市周期…

PoE技术详解

标准的五类网线有四对双绞线,IEEE 802.3af和IEEE 802.3at允许两种用法:通过空闲线对供电或者数据线对供电。IEEE 802.3bt允许通过空闲线对供电、通过数据线对供电或者空闲线对和数据线对一起供电,如图16.1所示。 图 16.1 PoE供电线对 当在一…

第一节JavaScript 简介与使用

JavaScript简介 JavaScript是互联网上最流行的脚本语言,这门语言可用于HTML和Web,更广泛用于服务器、PC、电脑、智能手机等设备上。 JavaScript是一种轻量级的编程语言。 JavaScript是可插入HTML页面的编程代码。 JavaScript插入HTML页面后&#xff…

使用coco数据集进行语义分割:数据预处理与损失函数

如何coco数据集进行目标检测的介绍已经有很多了,但是关于语义分割几乎没有。本文旨在说明如何处理 stuff_train2017.json stuff_val2017.json panoptic_train2017.json panoptic_val2017.json,将上面那些json中的dict转化为图片的label mask&am…

【Proteus仿真】【Arduino单片机】蔬菜大棚温湿度控制系统设计

文章目录 一、功能简介二、软件设计三、实验现象联系作者 一、功能简介 本项目使用Proteus8仿真Arduino单片机控制器,使用PCF8574、LCD1602液晶、DHT11温湿度传感器、按键、继电器、蜂鸣器、加热、水泵电机等。 主要功能: 系统运行后,LCD160…

【模电】设置静态工作点的必要性

设置静态工作点的必要性 静态工作点为什么要设置静态工作点 静态工作点 在放大电路中,当有信号输入时,交流量与直流量共存。将输入信号为零、即直流电源单独作用时晶体管的基极电流 I B I\tiny B IB、集电极电流 I C I\tiny C IC、b - e间电压 U B E U\t…

玩转大数据5:构建可扩展的大数据架构

1. 引言 随着数字化时代的到来,大数据已经成为企业、组织和个人关注的焦点。大数据架构作为大数据应用的核心组成部分,对于企业的数字化转型和信息化建设至关重要。我们将探讨大数据架构的基本要素和原则,以及Java在大数据架构中的角色&…

智能指针与动态内存

动态内存 new placement new 是 C 中的一种内存分配方式,它允许在给定的内存地址上构造对象,而不是在默认的堆上分配新的内存。这对于某些特殊的内存管理场景非常有用,例如在特定的内存池中分配对象。 C11 引入了 "new auto" 语法…

【C语言】递归详解

目录 1.前言2. 递归的定义3. 递归的限制条件4. 递归举例4.1 求n的阶乘4.1.1 分析和代码实现4.1.2 画图演示 4.2 顺序打印一个整数的每一位4.2.1 分析和代码实现4.2.2 画图推演 4.3 求第n个斐波那契数 5. 递归与迭代5.1 迭代求第n个斐波那契数 1.前言 这次博客内容是与递归有关&…

leetcode 876.链表的中间结点

补充上次的环形链表没细讲的快慢指针(这三道题现在可以连起来看),希望对你做题思路有帮助 876.链表的中间结点 题目 给你单链表的头结点 head ,请你找出并返回链表的中间结点。 如果有两个中间结点,则返回第二个中间结…

kubernetes监控GPA安装部署

本文在于指导如何对k8s的监控GPA(Grafana,prometheus以及alertmanager)进行安装部署。 1. 介绍 Prometheus 在真正部署Prometheus之前,应了解一下Prometheus的各个组件之间的关系及作用: 1)MertricServer:是k8s集群…

面试官:说说synchronized与ReentrantLock的区别

程序员的公众号:源1024,获取更多资料,无加密无套路! 最近整理了一波电子书籍资料,包含《Effective Java中文版 第2版》《深入JAVA虚拟机》,《重构改善既有代码设计》,《MySQL高性能-第3版》&…

【NI-RIO入门】Real Time(实时系统解释)

1.什么是实时系统? 实时系统可以非常精确可靠的执行需要特定时许要求的系统,对于许多工程项目来说,通用操作系统,例如WINDOWS等标准PC上运行测量和控制程序是无法精确控制计时的,这些系统很容易受用户的其他程序、图像…

联想LJ2655DN激光打印机清零方法

随着打印机的使用越来越频繁,需要更换耗材的时候也越来越多;但是更换上新的耗材后,很多用户都会遇到一个问题,就是更换完新的耗材后打印机仍然提示寿命将近,或者无墨粉盒灯情况,这个时候就需要我们对打印机…