前言
文章同步于我的个人博客https://quan9i.top/sqlprotect/中,欢迎大家访问
众所周知,sql注入是比较常见的一种攻击方式,我们通常学习了很多攻击手段,例如联合查询,二次注入,报错注入,布尔盲注,时间盲注等等,但我们此时仅仅学会了如何得到数据,那如果反过来,让我们保护数据,此时该如何防御sql注入呢,我浅学了一点,并总结如下,希望能对正在学习sql注入的人有一点帮助.。
博主只是一个小白,如果出现问题还请各位师傅多多指教
防御手段
sql语句预编译
String sql = "select id, no from user where id=?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1, id);
ps.executeQuery();
这里运用了PreparedStatement,就已经将语句的格式固定下来了,此时你注入的语句是无法再被当成sql语句来执行的,那些select,order by 都不再奏效,这是简单且较有效防御sql注入的一种方式,较官方的解释如下
其原因就是:采用了PreparedStatement,就会将sql语句:"select id, no from user where
id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,
后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经
完成了,而语法分析主要是分析sql命令,比如 select ,from ,where ,and, or ,order by 等等。
所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行, 必须
先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,
是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数。所以sql语句预编译可以防御sql注入。
但是,这种防御方法不适用于那些必须要用的字符串拼接的语句中
参考文章
https://www.cnblogs.com/digdeep/p/4715245.html
规定变量格式
sql语句为
$sql = "select id,no from user where id=" + id;
此时我们可以规定其id的值必须是int型,可以自己定义一个函数,只允许结果是数字,同时设法将那些十六进制,base64编码抵御在外,这时候就可以起到防御作用
$sql1=checknum($sql);
或者我们也可以利用一些安全函数
MySQLCodec codec = new MySQLCodec(Mode.STANDARD);
name = ESAPI.encoder().encodeForSQL(codec, name);
String sql = "select id,no from user where name=" + name;
函数ESAPI.encoder().encodeForSQL(codec, name)会对变量中的一些特殊字符进行编码,此时sql注入就会失效,从而实现对sql注入的防御
过滤字符串和正则通配符
就像平常中做题一般,我们可以对常用的字母和正则通配符进行过滤,利用preg_match函数
function waf($str){
return preg_match('/ |\*|\x09|\x0a|\x0b|\x0c|\x00|\x0d|\xa0|\x23|\#|file|into|select|flag/i', $str);
}
关闭PDO部分功能
PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。
PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。
小白理解:pdo提供了一个大家都可以查询数据的地方
PDO::ATTR_EMULATE_PREPARES
PDO::ATTR_ERRMODE
PDO::MYSQL_ATTR_MULTI_STATEMENTS
如果第二个为true,就有可能会被sql注入中的报错注入这种方法所攻击,从而造成数据泄露
如果第一个和三个为true,就存在宽字节+堆叠注入的双重漏洞
转义特殊字符
当存在sql语句时,我们可以利用addslashes函数
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符: 单引号'
双引号"
反斜杠\
NULL
或者我们也可以利用replace对sql注入语句中的部分字母进行转换,使其无法正确执行,从而无法正确进行sql注入,此种方法亦是一种简单且较高效的防御手段
|