AI 中文社
欢迎来到 AI 中文社区(简称 AI 中文社),这里是学习交流 AI 人工智能技术的中文社区。 为了更好的体验,本站推荐使用 Chrome 浏览器。
全部教程·
数据库·
MariaDB
[目录]
·
MariaDB SQL注入保护
MariaDB 教程
MariaDB 介绍
MariaDB 安装
MariaDB 创建表
MariaDB 删除表
MariaDB 插入查询
MariaDB 管理
MariaDB 选择查询
MariaDB PHP语法
MariaDB Where子句
MariaDB 建立连接
MariaDB 更新查询
MariaDB 创建数据库
MariaDB 删除查询
MariaDB 删除数据库
MariaDB LIKE
MariaDB 选择数据库
MariaDB ORDER
MariaDB 数据类型
MariaDB JOIN
MariaDB 空值
MariaDB 备份方法
MariaDB 正则表达式
MariaDB 备份加载方法
MariaDB 事务
MariaDB 实用功能
MariaDB 表更改命令
MariaDB 索引和统计表
MariaDB 临时表
MariaDB 克隆表
MariaDB 序列
MariaDB 管理重复
MariaDB SQL注入保护
MariaDB 教程
MariaDB 介绍
MariaDB 安装
MariaDB 创建表
MariaDB 删除表
MariaDB 插入查询
MariaDB 管理
MariaDB 选择查询
MariaDB PHP语法
MariaDB Where子句
MariaDB 建立连接
MariaDB 更新查询
MariaDB 创建数据库
MariaDB 删除查询
MariaDB 删除数据库
MariaDB LIKE
MariaDB 选择数据库
MariaDB ORDER
MariaDB 数据类型
MariaDB JOIN
MariaDB 空值
MariaDB 备份方法
MariaDB 正则表达式
MariaDB 备份加载方法
MariaDB 事务
MariaDB 实用功能
MariaDB 表更改命令
MariaDB 索引和统计表
MariaDB 临时表
MariaDB 克隆表
MariaDB 序列
MariaDB 管理重复
MariaDB SQL注入保护
MariaDB SQL注入保护
接受用户输入的简单行为打开了利用的大门。 这个问题主要来自数据的逻辑管理,但幸运的是,很容易避免这些主要缺陷。
SQL注入的机会通常发生在输入诸如名称的数据的用户上,并且代码逻辑无法分析该输入。 相反,代码允许攻击者插入MariaDB语句,该语句将在数据库上运行。
始终考虑用户输入的数据,可疑的,在任何处理之前需要强大的验证。 通过模式匹配执行此验证。 例如,如果期望的输入是用户名,将输入的字符限制为字母数字字符和下划线,并且限制为一定长度。 查看下面给出的示例:
if(check_match("/^w{8,20}$/", $_GET['user_name'], $matches)) {
$result = mysql_query("SELECT * FROM system_users WHERE user_name = $matches[0]");
} else {
echo "Invalid username";
}
此外,在创建输入约束时使用REGEXP运算符和LIKE子句。
考虑所有类型的必要的显式控制输入,如:
- 控制使用的转义字符。
- 控制特定的适当数据类型以进行输入。 将输入限制为必需的数据类型和大小。
- 控制输入数据的语法。 不要允许任何模式外的任何东西。
- 控制允许的条款。 黑名单SQL关键字。
你可能不知道注入攻击的危险,或者可能认为它们不重要,但它们是安全问题的列表。 此外,考虑这两个条目的效果:
1=1 -or- *
允许任何一个与正确的命令一起输入的代码可能导致揭示数据库上的所有用户数据或删除数据库上的所有数据,并且两种注入都不是特别聪明。 在某些情况下,攻击者甚至不花时间检查孔; 他们用简单的输入执行盲攻击。
另外,考虑由与MariaDB配合的任何编程/脚本语言提供的模式匹配和正则表达式工具,它们提供更多的控制,有时更好的控制。