mysql 문의 주입 오류는 무엇입니까?
mysql 문의 주입 오류는 일부 데이터베이스의 외부 인터페이스를 사용하여 실제 SQL 언어에 사용자 데이터를 삽입함으로써 데이터베이스는 물론 운영체제까지 침입하려는 목적을 달성하는 것입니다. 공격자는 이를 사용하여 데이터베이스의 데이터를 읽거나 수정 또는 삭제하고, 데이터베이스의 사용자 정보, 비밀번호 및 기타 정보를 얻거나 더 심각하게는 관리자 권한을 얻습니다.
(추천 튜토리얼: mysql 동영상 튜토리얼)
sql 주입 오류(SQL 주입)
SQL 주입은 일부 데이터베이스의 외부 인터페이스를 사용하여 실제 데이터베이스 운영 언어에 사용자 데이터를 삽입하는 것입니다( SQL)을 통해 데이터베이스는 물론 운영체제까지 침입하려는 목적을 달성합니다. 이는 주로 프로그램이 사용자가 입력한 데이터를 엄격하게 필터링하지 않아 잘못된 데이터베이스 쿼리 문이 실행되기 때문에 발생합니다.
"간단히 말하면 MySQL"
Hazards
공격자는 이를 사용하여 데이터베이스의 데이터를 읽거나 수정하거나 삭제하고, 데이터베이스의 사용자 정보와 비밀번호를 얻고, 더 심각하게는 관리자 권한을 얻습니다.
Example
//注入式错误
public static void test3(String name,String passward){
Connection connection = null;
Statement st = null;
ResultSet rs = null;
try {
// 加载JDBC 驱动
Class.forName("com.mysql.jdbc.Driver");
// 获得JDBC 连接
String url = "jdbc:mysql://localhost:3306/tulun";
connection = DriverManager.getConnection(url,"root","123456");
//创建一个查询语句
st = connection.createStatement();
//sql语句
String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
rs = st.executeQuery(sql);
if(rs.next()){
System.out.println("登录成功。");
}else{
System.out.println("登录失败。");
}
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
test3("wjm3' or '1 = 1","151515");
}데이터베이스 정보
위 코드에서 보듯이, 사용자 이름은 wjm3' 또는 '1=1이고, 비밀번호는 151515입니다. 우리가 하는 데이터베이스를 보면 알 수 있습니다. 원래는 로그인에 실패했다고 표시되어야 하지만 결과는 로그인에 성공했다는 것입니다. 왜냐하면 또는 '1 = 1은 더 이상 사용자 이름의 내용이 아니며 이제 SQL 문의 내용이기 때문입니다. . 어쨌든 결과는 true이므로 비밀번호를 입력할 필요가 없습니다. 여기서 보안 문제가 발생합니다.
Solution
1.PrepareStatement
//注入式错误
public static void test3(String name,String passward){
Connection connection = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
// 加载JDBC 驱动
Class.forName("com.mysql.jdbc.Driver");
// 获得JDBC 连接
String url = "jdbc:mysql://localhost:3306/tulun";
connection = DriverManager.getConnection(url,"root","123456");
//创建一个查询语句
String sql1 = "select * from student where name = ? and passward = ?";
st = connection.prepareStatement(sql1);
st.setString(1,name);
st.setString(2,passward);
//sql语句
//String sql = "select * from student where name = '"+ name+"' and passward = '"+passward+"'";
rs = st.executeQuery();
if(rs.next()){
System.out.println("登录成功。");
}else{
System.out.println("登录失败。");
}
} catch (Exception e) {
e.printStackTrace();
}finally{
try {
connection.close();
st.close();
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void main(String[] args) {
test3("wjm3' or '1 = 1","151515");
}위 코드에서 name 매개변수가 무엇이든 그것은 단지 name 매개변수일 뿐이며 일반적으로 이 방법을 권장합니다. 왜냐하면 그것이 더 안전하기 때문입니다.
2. 검증을 위한 자신만의 기능을 정의하세요
- 데이터를 유효하게 정리하세요
- 알려진 불법 입력을 거부하세요
- 알려진 합법적인 입력만 받아들이세요
최상의 보안 상태를 얻으려면, 현재 가장 좋은 해결책은 사용자가 제출했거나 변경될 수 있는 데이터를 단순히 분류하고 정규식을 적용하여 사용자가 입력한 데이터를 엄격하게 탐지하고 검증하는 것입니다.
실제로 알려진 형태의 공격을 방지하려면 불법 기호 조합만 필터링하면 되며, 새로운 공격 기호 조합이 발견되면 이러한 기호 조합도 추가하여 새로운 공격을 지속적으로 방지할 수 있습니다. 특히 공백 기호와 키워드를 구분하는 기호는 "/**/"와 같이 동일한 효과를 갖습니다. 이 기호를 성공적으로 필터링할 수 있다면 많은 주입 공격이 발생하지 않을 것이며 동시에 이러한 공격도 반드시 발생해야 합니다. 16진수 표현은 "%XX"입니다.
위 내용은 mysql 문의 주입 오류는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
LARAVEL 소개 예
Apr 18, 2025 pm 12:45 PM
Laravel은 웹 응용 프로그램을 쉽게 구축하기위한 PHP 프레임 워크입니다. 설치 : Composer를 사용하여 전 세계적으로 Laravel CLI를 설치하고 프로젝트 디렉토리에서 응용 프로그램을 작성하는 등 다양한 기능을 제공합니다. 라우팅 : Routes/Web.php에서 URL과 핸들러 간의 관계를 정의하십시오. 보기 : 리소스/뷰에서보기를 작성하여 응용 프로그램의 인터페이스를 렌더링합니다. 데이터베이스 통합 : MySQL과 같은 데이터베이스와 상자 외 통합을 제공하고 마이그레이션을 사용하여 테이블을 작성하고 수정합니다. 모델 및 컨트롤러 : 모델은 데이터베이스 엔티티를 나타내고 컨트롤러는 HTTP 요청을 처리합니다.
MySQL 및 Phpmyadmin : 핵심 기능 및 기능
Apr 22, 2025 am 12:12 AM
MySQL 및 Phpmyadmin은 강력한 데이터베이스 관리 도구입니다. 1) MySQL은 데이터베이스 및 테이블을 작성하고 DML 및 SQL 쿼리를 실행하는 데 사용됩니다. 2) PHPMYADMIN은 데이터베이스 관리, 테이블 구조 관리, 데이터 운영 및 사용자 권한 관리에 직관적 인 인터페이스를 제공합니다.
MySQL 대 기타 프로그래밍 언어 : 비교
Apr 19, 2025 am 12:22 AM
다른 프로그래밍 언어와 비교할 때 MySQL은 주로 데이터를 저장하고 관리하는 데 사용되는 반면 Python, Java 및 C와 같은 다른 언어는 논리적 처리 및 응용 프로그램 개발에 사용됩니다. MySQL은 데이터 관리 요구에 적합한 고성능, 확장 성 및 크로스 플랫폼 지원으로 유명하며 다른 언어는 데이터 분석, 엔터프라이즈 애플리케이션 및 시스템 프로그래밍과 같은 해당 분야에서 이점이 있습니다.
데이터베이스 연결 문제 해결 : Minii/DB 라이브러리 사용 실질적인 사례
Apr 18, 2025 am 07:09 AM
작은 응용 프로그램을 개발할 때 까다로운 문제가 발생했습니다. 가벼운 데이터베이스 운영 라이브러리를 신속하게 통합해야합니다. 여러 라이브러리를 시도한 후에는 기능이 너무 많거나 호환되지 않는다는 것을 알았습니다. 결국, 나는 내 문제를 완벽하게 해결하는 YII2를 기반으로 단순화 된 버전 인 Minii/DB를 발견했습니다.
Laravel 프레임 워크 설치 방법
Apr 18, 2025 pm 12:54 PM
기사 요약 :이 기사는 Laravel 프레임 워크를 쉽게 설치하는 방법에 대한 독자들을 안내하기위한 자세한 단계별 지침을 제공합니다. Laravel은 웹 애플리케이션의 개발 프로세스를 가속화하는 강력한 PHP 프레임 워크입니다. 이 자습서는 시스템 요구 사항에서 데이터베이스 구성 및 라우팅 설정에 이르기까지 설치 프로세스를 다룹니다. 이러한 단계를 수행함으로써 독자들은 라벨 프로젝트를위한 탄탄한 토대를 빠르고 효율적으로 놓을 수 있습니다.
MySQL 모드 해결 문제 : theliamysqlmodeschecker 모듈 사용 경험
Apr 18, 2025 am 08:42 AM
Thelia를 사용하여 전자 상거래 웹 사이트를 개발할 때 까다로운 문제가 발생했습니다. MySQL 모드가 제대로 설정되지 않아 일부 기능이 제대로 작동하지 않습니다. 약간의 탐색 후, 나는 theliamysqlmodeschecker라는 모듈을 발견했습니다.이 모듈은 Thelia가 요구하는 MySQL 패턴을 자동으로 수정하여 내 문제를 완전히 해결할 수 있습니다.
MySQL에서 외국 키의 목적을 설명하십시오.
Apr 25, 2025 am 12:17 AM
MySQL에서 외국 키의 기능은 테이블 간의 관계를 설정하고 데이터의 일관성과 무결성을 보장하는 것입니다. 외국 키는 참조 무결성 검사 및 계단식 작업을 통해 데이터의 효과를 유지합니다. 성능 최적화에주의를 기울이고 사용할 때 일반적인 오류를 피하십시오.
MySQL 및 Mariadb를 비교하고 대조하십시오.
Apr 26, 2025 am 12:08 AM
MySQL과 Mariadb의 주요 차이점은 성능, 기능 및 라이센스입니다. 1. MySQL은 Oracle에 의해 개발되었으며 Mariadb는 포크입니다. 2. MariaDB는 높은 하중 환경에서 더 나은 성능을 발휘할 수 있습니다. 3. Mariadb는 더 많은 스토리지 엔진과 기능을 제공합니다. 4.MySQL은 듀얼 라이센스를 채택하고 MariaDB는 완전히 오픈 소스입니다. 선택할 때 기존 인프라, 성능 요구 사항, 기능 요구 사항 및 라이센스 비용을 고려해야합니다.
