防SQL注入規範

原創 xinyi0622 2020-06-29 01:12

1、防SQL注入基本原則:

所有用戶輸入都必須進行合法性校驗。所有數據庫SQL操作必須參數化。

2、回收開發人員等操作生產庫權限。

減少開發人員、非DBA操作生產庫的權限;數據庫數據查詢要有權限分級和審覈。

3、儘量使用PreparedStatement代替Statement。

一方面,在大多數情況下,使用PreparedStatement的性能將優於使用Statement,另外一方面,可以最大限度的減少SQL注入發生的可能行。

4、用戶提交的數據都應該做合法性校驗。

避免用戶輸入‘,““,-,%,#,&,|,@,+等有可能導致SQL注入的危險字符給系統造成危害。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【python代碼審計】postgresSQL中sql注入

python使用pg數據sql注入分析 內容 審計python使用psycopg2庫操作pg數據庫中的sql注入 sql注入出現原因 總結有3個原因 1 對外接口中有不可信的數據輸入 2 未對輸入的數據進行安全性校驗(白名單,轉義

弘毅密令 2020-07-08 09:18:22

DGA域名

什麼是DGA? dga是一種算法,作用生成隨機數的。 什麼是dga域名? 是用dga算法生成的域名,這種域名通常硬編碼在惡意軟件中。 爲什麼要使用dga域名? 黑客在寫惡意程序時使用(c&c),爲了繞過域名黑名單檢測(繞過防火牆策

弘毅密令 2020-07-08 09:18:22

通用Restful API測試case

整理了API接口測試方法和用例,共享xmind文件,希望能幫到入門的朋友,也希望同行的朋友指正交流、共同進步。 一、動力 1 API接口接手測試時老是不放心,不知道自己測試的全不全,可靠不可靠,經過2年的api接口測試,總結了測試

弘毅密令 2020-07-08 09:18:11

不同文件MD5值一樣【實例】

不同文件不同數據計算後md5值是一樣的,下面是實例 二進制中不同數據: 兩文件計算md5值(可見md5值相同,sha1值不同) 注:需要測試文件的私信。

弘毅密令 2020-07-08 09:18:11

PETool free分享

百度盤下載pe解析工具、PETool.1.0.0.5.exe(免費) 鏈接: https://pan.baidu.com/s/1A44RaB3GotWfmWmQCv3qqw 提取碼: 33fh MD5: 5691CCA8BD8C5

弘毅密令 2020-07-08 09:18:11

GO相同文件夾下相同package不同文件間的函數調用

如:需要在main.go中調用,test1.go中的函數。直接run main.go會報錯如下 調用代碼: test1.go package main import "fmt" func test0007() { fmt.

弘毅密令 2020-07-08 09:18:09

安全測試基本掌握

1、sql注入 1) 避免使用$拼接查詢語句,用# 2)用戶名錄入 ‘ or 1=1 —(註釋符號) select 1 from users where userid='' or 1=1 —'   2、XSS,注入html代碼 1)反射型

BestSmilesHi 2020-07-07 17:39:45

kali安裝loic

1、安裝mono環境 檢查kali對應的Debian版本,根據Debian版本安裝mono https://www.monodevelop.com/download/#fndtn-download-lin-debian 查看Debian版

Leah0105 2020-07-03 21:31:02

PHPStudy搭建DVWA環境

1、下載PHPStudy和DVWA安裝包 2、解壓phpStudy_64.7z,安裝phpStudy 3、解壓DVWA,將解壓後的文件放入C:\phpstudy_pro\WWW文件夾下 4、打開C:\phpstudy_pro\WWW\DV

Leah0105 2020-07-03 21:31:02

安全測試——驗證&日誌文件

口令驗證   目前大多數的Web系統都設置了登陸功能,只有驗證通過後,才能訪問相關的數據信息。在測試此類功能時,必須測試有效和無效的用戶名及口令,同時需考慮大小寫、錯誤次數限制、代碼注入等。口令安全測試通常融合在功能測試中。    授權驗

weixin_43802541 2020-07-03 19:15:51

Fiddler抓取移動端數據,無法抓取手機數據包請求?解決。

一、首先安裝Fiddler(如需抓取HTTPS請求,需要安裝fiddlercertmaker證書) 安裝過程中幾個點可能導致無法抓到移動端數據包: 1、Fiddler安裝路徑目錄存在中文 2、Fiddler安裝路徑目錄存在空格 以

dongdong1110 2020-07-03 07:52:50

安全測試學習網站收集

最近公司項目需要進行web安全測試,網上的資料又太多,故收集一下資料: 基礎知識 安全招聘中,如何招到優秀的Web滲透測試人員?https://cloud.tencent.com/developer/article/1039856 web

迷觞星辰 2020-07-02 19:17:31

kali linux安裝後常用軟件安裝介紹和部分錯誤解決

kali linux 安裝之後整理 《kaili-linux 虛擬機詳細安裝簡本中文版》http://goo.gl/XjLs1G 【普及帖】kali linux 安裝之後整理 By sIyuAn  ps 網上收集、自己整理一些,想安裝啥自

5t4rk 2020-06-29 09:13:36

BurpSuite 學習使用教程

一、簡介: Burp Suite 是用於攻擊web 應用程序的集成平臺。它包含了許多Burp工具,這些不同的burp工具通過協同工作,有效的分享信息,支持以某種工具中的信息爲基礎供另一種工具使用的方式發起攻擊。這些工具設計了許多接口,以促

李子园的梦想 2020-06-29 07:40:41

CSRF的防範

 CSRF(Cross Site Request Forgery)是常見的web攻擊,攻擊者誘使用戶訪問一個頁面,就以該用戶身份在第三方站點裏執行操作,進行攻擊。 CSRF的攻擊過程,往往是在用戶不知情的情況下構造了網絡請求。 1、添加驗

xinyi0622 2020-06-29 01:12:00