【安全】SQL注入
什么是SQL注入
SQL注入是指将刻意构造的参数传递给SQL语句,使SQL语句不按预期的行为执行,从而暴露一些敏感信息或产生未预期的结果。
如上图所示,用于进行登陆时,将用户名改为username AND 1=1 /*,因为/*后面的内容被注释了,因而后台在判断是否密码是否正确时并无比较密码,因此任何帐号均可以直接登陆。html
SQL注入场景
如何预防SQL注入
- 预编译SQL
a) 使用JDBC时,执行SQL应使用PreparedStatement;
b) 使用MyBatis时,配置文件中参数应使用#拼接,避免使用$符拼接; - 使用白名单方式验证用户输入数据
- 对用户输入数据进行转义
对SQL字符串进行转义能够调用common-lang提供的接口StringEscapeUtils.escapeSql()
参考:
SQL Injection Preventionspa
相关文章
- 1. WEB安全-SQL注入
- 2. Web安全之SQL注入
- 3. web安全:sql 注入
- 4. WEB安全——SQL注入
- 5. 初探SQL注入--安全
- 6. web安全:SQL注入
- 7. 安全相关,SQL 注入
- 8. Web安全 - SQL注入
- 9. WEB 安全之 SQL注入 < 二 > 暴库 WEB 安全之 SQL注入一
- 10. 0基础sql注入_安全基础sql注入
- 更多相关文章...
- • SQLite 注入 - SQLite教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安装与使用
- • YAML 入门教程
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. WEB安全-SQL注入
- 2. Web安全之SQL注入
- 3. web安全:sql 注入
- 4. WEB安全——SQL注入
- 5. 初探SQL注入--安全
- 6. web安全:SQL注入
- 7. 安全相关,SQL 注入
- 8. Web安全 - SQL注入
- 9. WEB 安全之 SQL注入 < 二 > 暴库 WEB 安全之 SQL注入一
- 10. 0基础sql注入_安全基础sql注入