mysql注入式攻击
基础概念
MySQL注入式攻击是一种常见的网络安全威胁,攻击者通过在应用程序的输入字段中插入恶意SQL代码,试图操纵数据库查询,从而获取、修改或删除敏感数据。这种攻击方式利用了应用程序对用户输入处理不当的漏洞。
相关优势
无。
类型
- 基于错误的注入:攻击者通过观察应用程序的错误信息来推断数据库结构。
- 基于时间的注入:攻击者通过测量数据库响应时间来推断查询结果。
- 基于布尔的注入:攻击者通过观察应用程序的响应内容来推断查询结果。
应用场景
任何使用MySQL数据库的应用程序都可能受到SQL注入攻击,特别是那些没有对用户输入进行充分验证和过滤的应用程序。
为什么会这样
SQL注入攻击通常是由于应用程序没有正确地验证和过滤用户输入,导致恶意SQL代码被执行。例如,以下代码片段存在SQL注入风险:
$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
$result = mysqli_query($conn, $query);如果用户输入username为admin' --,则查询将变为:
SELECT * FROM users WHERE username = 'admin' --'这将导致查询忽略后面的条件,返回所有用户记录。
原因是什么
- 缺乏输入验证:没有对用户输入进行充分的验证和过滤。
- 拼接SQL语句:直接将用户输入拼接到SQL查询中。
- 错误处理不当:应用程序错误信息泄露了数据库结构。
如何解决这些问题
- 使用参数化查询:避免直接拼接SQL语句,使用参数化查询可以有效防止SQL注入。例如,在PHP中使用PDO:
- 使用参数化查询:避免直接拼接SQL语句,使用参数化查询可以有效防止SQL注入。例如,在PHP中使用PDO:
- 输入验证和过滤:对用户输入进行严格的验证和过滤,确保输入符合预期格式。
- 最小权限原则:数据库连接应使用最小权限账户,避免攻击者获取过多权限。
- 错误处理:避免在应用程序中泄露详细的错误信息,可以使用自定义错误页面或日志记录错误信息。
参考链接
通过以上措施,可以有效防止MySQL注入式攻击,保护应用程序和数据库的安全。
相关·内容
如何避免SQL注入式SQL查询与Like运算符只针对PHP和Mysql?使用字符串函数可以做到这一点吗?
或者有人能告诉我,我应该做些什么来防止like %操作符的攻击?
浏览 0提问于2011-08-27得票数 1
5回答
如果我在我的网站上使用mysql_real_escape_string和addslashes来避免sql注入攻击,这两个是否足以阻止SQL注入,所以它100%确定现在没有人可以使用SQL注入攻击?
浏览 0提问于2011-06-02得票数 1
回答已采纳
我读过不同的数据库(mysql,sql server,.)有不同的漏洞,它们容易受到某些特定sql注入的攻击。当攻击者试图对网站(如SQL注入)执行数据库攻击时,首先确定数据库的类型,然后执行检测到的数据库的攻击思路。
攻击者如何执行先前的检查?使用一些特殊的查询?有没有特定的工具?
浏览 0提问于2012-12-10得票数 15
回答已采纳
你好,我正在用node.js和mysql开发服务器。当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?如果有人给了“foo”;DROP TABLE auth_user;--“us
浏览 5提问于2018-05-11得票数 2
"')";如果此查询是从php执行的,则会创建一个新行,但不会插入任何值。尽管id列会自动递增。msg2的格式有什么问题吗?
浏览 1提问于2012-09-29得票数 0
回答已采纳
2回答
我知道您需要准备好的语句来避免SQL注入,而且我已经看到对于SELECT、INSERT、UPDATE注入查询的利用存在不同的问题。USE `data_from_attacker`;
考虑到我正在寻找的不是选择DB (即:选择information_schema或mysql似乎无害,因为下一个查询不会工作,因为表不存在,选择不存在的DB也是无害的),如果攻击者可以使用什么数据来替代information_schema,可以使
浏览 0提问于2019-07-31得票数 3
回答已采纳
我正在使用mysql,并试图阻止那些试图使用我的单个查询来运行多个查询的人注入不需要的查询。例如,当我有一个参数"?
浏览 1提问于2009-08-28得票数 1
回答已采纳
我的MySQL数据库一直被黑客入侵,我找不到漏洞。我在PHP中有坚实的保护来防止注入,而黑客本人已经与我沟通,并且说他不是通过注入的方式进行黑客攻击。那么,如何在不注入的情况下篡改MySQL数据库呢?
浏览 0提问于2014-12-12得票数 4
1回答
如果有人向我的基于PHP的应用程序注入MySQL语句。我使用MySQLi真正的转义字符串,但是攻击者只是简单地注入了SQL语句。让我们假设:
而且,即使在转义字符串之后,代码也按如下方式执行。
SELECT * FROM ex WHERE id = 1 LIMIT 10
浏览 1提问于2016-02-24得票数 0
回答已采纳
1回答
此外,在HTTP头和元标记中,字符集显式地设置为UTF-8,以防止格式错误的编码问题。DB也被设置为UTF-8。规范:PHP,MySQL,Apache function secureinput($input) $input = htmlspecialchars($input8'); $input = mysq
浏览 2提问于2012-07-28得票数 0
回答已采纳
1回答
我想知道如何才能使您自己的站点在Sql注入类型的攻击下完全安全。我读到在htaccess文件中启用魔术引号gpc就足够了。这足够了吗?还有别的把戏吗?如何了解脚本是否对Sql注入开放?例如,此代码段与攻击sql注入?$sql = $_REQUEST['id']; $Query = "DELETE FROM Y WHERE$sql;
例如,像facebook或goog
浏览 0提问于2013-06-08得票数 0
2回答
注入SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序,其中恶意SQL语句被插入入口字段以执行(例如将数据库内容转储给攻击者)。SQL注入如何影响AndroidO.S
安卓应用程序中使用的SQLite是功能齐全的数据库,因此就像Server或MySQL框一样,它们也容易受到SQL注入的影响。SQL注入通常通过将数据添加到查询字符串或在表单字段中添加数据来工作;允许黑客访问数据库或未经授权的登录。SQL注入</e
浏览 0提问于2015-05-22得票数 2
如果我在MySQL 5.3中使用预准备语句,我是否仍然需要使用mysql_escape_string来避免SQL注入攻击?
浏览 1提问于2012-03-02得票数 2
回答已采纳
我目前正在使用库将我的应用程序连接到一个MySQL实例。在阅读了我发现的其他一些StackOverflow问题和文章后,它听起来像是node-mysql在每次调用query()方法时自动转义不安全的字符。但是在一些代码片段中,我还看到在query()方法中调用了mysql.escape()和mysql.escapeId()。似乎当query()自动转义一些危险字符时,您仍然应该调用mysql.escape()和mysql.escapeId()来转义其他危险字符。
这是正确的吗?如果是,q
浏览 1提问于2014-08-05得票数 9
回答已采纳
2回答
MySQL注入预防
、、、
黑客通过sql注入和运行虚假查询攻击我的网站,如何防止他们需要帮助。
是否有防火墙可以防止黑客攻击等,或者我应该使用mysql_real_escape_string($_REQUEST);
浏览 3提问于2012-08-06得票数 0
通常,MySQL在使用php接收表单时容易受到MySQL注入的影响。我正在使用MySQL连接器/C++ API。我知道cgi程序有自己的安全问题,比如缓冲区溢出,但我询问的是MySQL安全。
浏览 0提问于2015-05-25得票数 0
回答已采纳
我刚遇到一位开发人员,他在MYSQL数据库中的每个表名和列名前都加上了下划线(例如_users,_name,_active)。当我质疑这种做法时,他说这有助于防止SQL注入攻击--我以前从来没有遇到过这种做法/建议。它如何帮助防止SQL注入攻击?
浏览 1提问于2012-11-20得票数 22
回答已采纳
$_POST['email']; or die('Could not connect to database.');$sanitemail = mysql_real_escape_string($e
浏览 0提问于2010-10-02得票数 1
回答已采纳
4回答
注入的定义安卓应用程序中使用的SQLite是功能齐全的数据库,因此就像Server或MySQL框一样,它们也容易受到SQL注入的影响。SQL注入通常通过将数据添加到查询字符串或在表单字段中添加数据来工作;允许黑客访问数据库或未经授权的登录。SQL注入</em
浏览 2提问于2015-05-22得票数 5
我只是浏览了一些代码,并确保所有用户输入都是通过mysql_real_escape_string()进行的,以防止sql注入。对于通过PHP的md5()函数运行的密码输入,是否仍然需要mysql_real_escape_string(0 )?似乎编码过程将消除潜在的注入攻击。
浏览 3提问于2011-08-03得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
