当前位置: 首页 > news >正文

【MySQL安全】什么是SQL注入,怎么避免这种攻击:前端防护、后端orm框架、数据库白名单

基本概念

SQL注入是OWASP Top 10安全风险之一,它利用了应用程序对用户输入数据的不当处理。当应用程序直接将用户输入拼接到SQL查询中而没有进行适当的过滤或转义时,就可能发生SQL注入攻击。

攻击原理

假设有一个登录表单的SQL查询:

SELECT * FROM users WHERE username = '[用户输入的用户名]' AND password = '[用户输入的密码]'

如果攻击者输入:

用户名: admin' --
密码: 任意

实际执行的SQL变为:

SELECT * FROM users WHERE username = 'admin' --' AND password = '任意'

--是SQL注释符号,使得密码检查被忽略,攻击者可以无需密码就以admin身份登录。

防御措施

现代的web系统基本上很难出现sql注入

1. 可以从前端进行防护,检验用户名是否有非法字符,如'-' 等

2. 即使前端防护过了,后端也不会写显式sql,一般会用一些orm框架,就是把数据库中的表当作类,每一行就是一个类的实例

这样做有2个好处,一是可以防止sql注入,因为你会发现,在这个例子中本质上是利用了字符串的拼接。二是提供了更上一层的抽象,每个数据库虽然都是遵循sql标准,但是各个语法都会有些许差别,假如你的系统从mysql迁移到oracle数据库,那写显式sql你就必须更改每一条语句。一个系统中的查询逻辑可能多达几千条,难道一条一条改嘛,所以现代的web系统都增加orm框架

3. 就是从数据库角度进行防护,比如白名单,我定义好有哪些语句可以查询,sql注入本质上是更改了查询的逻辑,更改后的不在白名单里,根本不让你查。

所以现代web系统基本上不会存在sql注入的风险

orm框架

@Entity                  //这个类是一个 JPA 实体,对应数据库中的一张表。
@Table(name = "users")   //显式指定该类映射到数据库中的表名为 users    
public class User {@Id                  //标注 id 字段是表的主键private Long id;private String name;
}Query<User> query = session.createQuery(    "FROM User WHERE name = :name", User.class
);
query.setParameter("name", inputName);  


这个是java语法,就是数据库中有一个user表,表中有两个字段,id和name,我把这个表抽象成一个类,查询的时候输入用户名,用User.name的私有成员代替,避免字符串直接拼接。
现在每一个后端语言,都有orm框架,甚至在这个框架之上又衍伸出来更高一层的框架,比如java的mybatis等等。

http://www.lryc.cn/news/608799.html

相关文章:

  • 计算机网络:如何在实际网络中进行子网划分
  • 从零开始学Express,理解服务器,路由于中间件
  • C#模式匹配用法与总结
  • Supergateway教程
  • Baumer工业相机堡盟工业相机如何通过YoloV8深度学习模型实现各类垃圾的分类检测识别(C#代码UI界面版)
  • 玩转 Playwright 有头与无头模式:消除差异,提升爬虫稳定性
  • LLM - 智能体工作流设计模式
  • 小红书开源dots.ocr:单一视觉语言模型中的多语言文档布局解析
  • 【设计模式】5.代理模式
  • [LeetCode优选算法专题一双指针——有效三角形的个数]
  • Python 程序设计讲义(60):Python 的函数——递归函数
  • 从“配置地狱”到“云端乐园”——Nacos 如何成为分布式微服务配置中心的“定海神针”
  • 【MySQL】MySQL中锁有哪些?
  • ethtool,lspci,iperf工具常用命令总结
  • 26李林880高数第一章 函数、极限、连续
  • Shell脚本-变量的定义规则
  • 西门子PLC基础指令4:输出指令、立即输出指令
  • JavaScript 性能优化实战指南:从运行时到用户体验的全面提升​
  • adb 与pad 交互方法
  • MyBatis动态SQL精要:从<if>到<foreach>的灵活拼接之道
  • Go语言声明变量
  • 怎么修改论文格式呢?提供一份论文格式模板
  • 【Bluedroid】btif_av_handle_event 流程源码解析
  • 面向智能体的上下文工程:策略、实现与 LangGraph 实践
  • LangChain4J入门:接入大模型
  • 系统学习算法:专题十六 字符串
  • 第三章-提示词-高级:开启智能交互新境界(13/36)
  • 日常--详细介绍qt Designer常用快捷键(详细图文)
  • 【QT】概述
  • 高质量数据集|建设三大难点