来源:蜘蛛抓取(WebSpider)
时间:2017-09-18 17:13
标签:
选股条件如何设置参数
您的位置: >>
在Web应用开发过程中,SQL注入漏洞是大家都非常关心的问题。本文介绍了应用参数化查询来解决SQL注入问题。
SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。
SQL注入的原理
以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询:
string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = '" + userName + "' AND Password = '" + password + "'";
其中userName和password两个变量的值是由用户输入的。在userName和password都合法的情况下,这自然没有问题,但是用户输入是不可信的,一些恶意用户只要用一些技巧,就可以绕过用户名、密码登录。
假设password的值是"1' or '1' = '1",userName的值随便取,比如是"abc",那变量sql的值就是:
"SELECT TOP 1 * FROM [User] WHERE UserName = 'abc' AND Password = '1' or '1' = '1'"
由于'1' = '1'恒为真,因此只要User表中有数据,不管UserName、Password的值是否匹配,这条SQL命令准能查出记录来。就这样,登录系统就被破解了。
以往的防御方式
以前对付这种漏洞的方式主要有三种:
字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。
字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之鱼。
存储过程:把参数传到存储过程进行处理,但并不是所有数据库都支持存储过程。如果存储过程中执行的命令也是通过拼接字符串出来的,还是会有漏洞。
参数化查询
近年来,自从参数化查询出现后,SQL注入漏洞已成明日黄花。
参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。
在ASP程序中使用参数化查询
ASP环境下的参数化查询主要由Connection对象和Command对象完成。
Access数据库只支持匿名参数,在传入参数的位置用问号代替即可。SQL Server数据库虽然支持匿名和非匿名的参数,但是在ASP中也仅能使用匿名参数。
var conn = Server.CreateObject("ADODB.Connection");
conn.ConnectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + Server.MapPath("Test.mdb");
conn.Open();
var cmd = Server.CreateObject("mand");
cmd.ActiveConnection =
mandType = 1;
mandText = "SELECT TOP 1 * FROM [User] WHERE UserName = ? AND Password = ?";
cmd.Parameters.Append(cmd.CreateParameter("@UserName", 200, 1, 20, "user01"));
cmd.Parameters.Append(cmd.CreateParameter("@Password", 200, 1, 16, "123456"));
var rs = cmd.Execute();
Response.Write(rs("UserId").value);
rs.Close();
conn.Close();
在ASP.NET程序中使用参数化查询
ASP.NET环境下的查询化查询也是通过Connection对象和Command对象完成。如果数据库是SQL Server,就可以用有名字的参数了,格式是&@&字符加上参数名。
SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=pwd=12345;initial catalog=TestDb");
conn.Open();
SqlCommand cmd = new SqlCommand("SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password");
cmd.Connection =
cmd.Parameters.AddWithValue("UserName", "user01");
cmd.Parameters.AddWithValue("Password", "123456");
SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);
reader.Close();
conn.Close();
的参数格式与&Server有点区别,是以&?&加上参数名。
MySqlConnection conn = new MySqlConnection("server=127.0.0.1;uid=pwd=12345;database=");
conn.Open();
MySqlCommand cmd = new MySqlCommand(&SELECT * FROM `User` WHERE UserName = ?UserName AND Password = ?Password LIMIT 1&P);
cmd.Connection =
cmd.Parameters.AddWithValue(&UserName&, &user01&P);
cmd.Parameters.AddWithValue(&Password&, &123456&P);
MySqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);
reader.Close();
conn.Close();
数据库热门文章
数据库最新文章SQL 注入(3)
/archives/1030
方法 bindParam() 和 bindValue() 非常相似。
唯一的区别就是前者使用一个PHP变量绑定参数,而后者使用一个值。
所以使用bindParam是第二个参数只能用变量名,而不能用变量值,而bindValue至可以使用具体值。
view source
01&&& $stm = $pdo-&prepare(&select * from users where user = :user&);
02&&& $user = &jack&;
03&&& //正确
04&&& $stm-&bindParam(&:user&,$user);
05&&& //错误
06&&& //$stm-&bindParam(&:user&,&jack&);
07&&& //正确
08&&& $stm-&bindValue(&:user&,$user);
09&&& //正确
10&&& $stm-&bindValue(&:user&,&jack&);
另外在存储过程中,bindParam可以绑定为input/output变量,如下面:
view source
1&&& $stm = $pdo-&prepare(&call func(:param1)&);
2&&& $param1 = &abcd&;
3&&& $stm-&bindParam(&:param1&,$param1); //正确
4&&& $stm-&execute();
存储过程执行过后的结果可以直接反应到变量上。
对于那些内存中的大数据块参数,处于性能的考虑,应优先使用前者。
--------------------------------------------------
另外根据 php 手册的说法还可以不用 bind 直接在 execute 中给数组.
例子1,命名参数:
/* Execute a prepared statement by passing an array of
$sql&=&'SELECT
name, colour, calories
&&&&FROM fruit
&&&&WHERE calories & :calories AND colour = :colour';
$sth&=&$dbh-&prepare($sql,
array(PDO_ATTR_CURSOR,&PDO_CURSOR_FWDONLY));
$sth-&execute(array(':calories'&=&&150,&':colour'&=&&'red'));
$red&=&$sth-&fetchAll();
$sth-&execute(array(':calories'&=&&175,&':colour'&=&&'yellow'));
$yellow&=&$sth-&fetchAll();
例子1,匿名参数:
/* Execute a prepared statement by passing an array of
$sth&=&$dbh-&prepare('SELECT
name, colour, calories
&&&&FROM fruit
&&&&WHERE calories & ? AND colour = ?');
$sth-&execute(array(150,&'red'));
$red&=&$sth-&fetchAll();
$sth-&execute(array(175,&'yellow'));
$yellow&=&$sth-&fetchAll();
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便[来源请求],然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
除了安全因素,相比起拼接字符串的 SQL 语句,参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库,从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句,则会由于操作数据是 SQL 语句的一部分而非参数的一部分,而反复大量解释 SQL 语句产生不必要的开销。
&&& * 1 原理
&&& * 2 SQL 指令撰写方法
&&&&&&&&& o 2.1 Microsoft SQL Server
&&&&&&&&& o 2.2 Microsoft Access
&&&&&&&&& o 2.3 MySQL
&&&&&&&&& o 2.4 PostgreSQL/SQLite
&&& * 3 客户端程序撰写方法
&&&&&&&&& o 3.1 ADO.NET
&&&&&&&&& o 3.2 PDO
&&&&&&&&& o 3.3 JDBC
&&&&&&&&& o 3.4 Cold Fusion
[编辑] 原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。
[编辑] SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:
[编辑] Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 &@& 字符加上参数名称而成,SQL Server 亦支持匿名参数 &?&。
&SELECT * FROM myTable WHERE myID = @myID
&INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[编辑] Microsoft Access
Microsoft Access 不支持具名参数,只支持匿名参数 &?&。
&UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[编辑] MySQL
MySQL 的参数格式是以 &?& 字符加上参数名称而成。
&UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[编辑] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的参数格式是以 “:” 加上参数名而成。当然,也支持类似 Access 的匿名参数。
&UPDATE &myTable& SET &c1& = :c1, &c2& = :c2, &c3& = :c3 WHERE &c4& = :c4
[编辑] 客户端程序撰写方法
在客户端代码中撰写使用参数的代码,例如:
[编辑] ADO.NET
ADO.NET用于ASP.NET之内。
SqlCommand sqlcmd = new SqlCommand(&INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)&, sqlconn);
sqlcmd.Parameters.AddWithValue(&@c1&, 1); // 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue(&@c2&, 2); // 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue(&@c3&, 3); // 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue(&@c4&, 4); // 設定參數 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[编辑] PDO
PDO用于PHP之内。 在使用 PDO 驱动时,参数查询的使用方法一般为:
// 实例化数据抽象层对象
$db = new PDO('pgsql:host=127.0.0.1;port=5432;dbname=testdb');
// 对 SQL 语句执行 prepare,得到 PDOStatement 对象
$stmt = $db-&prepare('SELECT * FROM &myTable& WHERE &id& = :id AND &is_valid& = :is_valid');
// 绑定参数
$stmt-&bindValue(':id', $id);
$stmt-&bindValue(':is_valid', true);
$stmt-&execute();
// 获取数据
foreach($stmt as $row) {
&&& var_dump($row);
对于 MySQL 的特定驱动,也可以这样使用:
$db = new mysqli(&localhost&, &user&, &pass&, &database&);
$stmt = $mysqli -& prepare(&SELECT priv FROM testUsers WHERE username=? AND password=?&);
$stmt -& bind_param(&ss&, $user, $pass);
$stmt -& execute();
值得注意的是,以下方式虽然能有效防止 SQL注入 (归功于 mysql_real_escape_string 函数的转义),但并不是真正的参数化查询。其本质仍然是拼接字符串的 SQL 语句。
$query = sprintf(&SELECT * FROM Users where UserName='%s' and Password='%s'&,&
&&&&&&&&&&&&&&&&& mysql_real_escape_string($Username),&
&&&&&&&&&&&&&&&&& mysql_real_escape_string($Password));
mysql_query($query);
[编辑] JDBC
JDBC用于Java之内。
java.sql.PreparedStatement prep = connection.prepareStatement(
&&&&&&&&&&&&&&& &SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?&);
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[编辑] Cold Fusion
&cfquery name=&Recordset1& datasource=&cafetownsend&&
FROM COMMENTS
WHERE COMMENT_ID =&cfqueryparam value=&#MENT_ID#& cfsqltype=&cf_sql_numeric&&
&/cfquery&
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:220193次
积分:4109
积分:4109
排名:第7769名
原创:61篇
转载:192篇
(15)(22)(84)(27)(29)(76)
(window.slotbydup = window.slotbydup || []).push({
id: '4740881',
container: s,
size: '200,200',
display: 'inlay-fix'4323人阅读
& & & & 在yii框架中使用参数化进行IN查询时,结果不如所愿
$sql =&&&SQL
SELECT id FROM
tb WHERE id IN(:ids)
$db = GeneralService::getSlaveDB();
$result = $db-&createCommand($sql)-&query([':ids' =& '17'])-&readAll();
print_r($result);
[0] =& Array
[id] =& 1013
& & & & 于是翻了yii框架中相关源码,发现采用的是pdo查询,于是又查询了pdo相关资料,知道了原因:不能让占位符代替一组值。
SELECT id FROM tb WHERE userid IN ( ? );
& & & & 既然知道了原因,那么就找到替代的方法,FIND_IN_SET正好可以满足
$sql =&&&SQL
SELECT id FROM tb WHERE FIND_IN_SET(id, :ids)
$db = GeneralService::getSlaveDB();
$result = $db-&createCommand($sql)-&query([':ids' =& '17'])-&readAll();
print_r($result);
[0] =& Array
[id] =& 1013
[1] =& Array
[id] =& 1015
[2] =& Array
[id] =& 1017
& & & & 简单科普下FIND_IN_SET函数
FIND_IN_SET(str,strlist)
假如字符串str在由N子链组成的字符串列表strlist中,则返回值的范围在 1 到 N 之间。
一个字符串列表就是一个由一些被 ‘,’ 符号分开的子链组成的字符串。如果第一个参数是一个常数字符串,而第二个是type SET列,则
FIND_IN_SET() 函数被优化,使用比特计算。
如果str不在strlist 或strlist 为空字符串,则返回值为 0 。如任意一个参数为NULL,则返回值为 NULL。这个函数在第一个参数包含一个逗号(‘,’)时将无法正常运行。
& & & & 【ps】strlist中由逗号组成的字符串,不能像平常习惯的那样,逗号右边加个空格,那是认不出来的。
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:407971次
积分:4496
积分:4496
排名:第6803名
原创:144篇
评论:89条
(window.slotbydup = window.slotbydup || []).push({
id: '4740881',
container: s,
size: '200,200',
display: 'inlay-fix'private void button1_Click(object sender, EventArgs e)
SqlParameter pName = new SqlParameter(&@name&,&%&+textBox1.Text+&%&);
DataTable dt = Dbutil.GetData(&select * from Data where 姓名 like @name&, pName);
this.dataGridView1.DataSource =
class Dbutil
static string sqlConn = ConfigurationManager.ConnectionStrings[&sqlconn&].ConnectionS
public static DataTable GetData(string sql,SqlParameter paremeter)
DataTable dt = new DataTable();
using(SqlConnection conn = new SqlConnection(sqlConn))
conn.Open();
using(SqlCommand cmd = new SqlCommand(sql,conn))
cmd.Parameters.Add(paremeter);
using(SqlDataAdapter adapter = new SqlDataAdapter(cmd))
adapter.Fill(dt);
本文已收录于以下专栏:
相关文章推荐
What?什么是拼接SQL语句
        拼接SQL语句主要操作于有条件的增删改查,即条件一不定,也可以叫做组合查询。
HOW?怎么做?
        1、这里先来一个最简单的连接数据...
模糊查询是数据库查询中经常用到的,一般常用的格式如下:
(1)字段  like '%关键字%'
  字段包含&关键字“的记录   即使在目标字段建立索引也不会走索引,速度最慢  
(2)字段 .....
网络绝对是任何系统的核心,对于容器而言也是如此。Docker 作为目前最火的轻量级容器技术,有很多令人称道的功能,如 Docker 的镜像管理。然而,Docker的网络一直以来都比较薄弱,所以我们有必要深入了解Docker的网络知识,以满足更高的网络需求。
在service层封装新的数据
先把前台传过来的要查询的条件重新封装到criteria参数中,
创建新的方法(参数为 criteria的对象)
在原方法中调用这个新方法
(在dao层创建这个新方法的接...
Oracle模糊查询的实现
16:41 佚名 互联网 我要评论(2) 字号:T | T
模糊查询对于每一个数据库来说,都是比较难实现的,下文对Oracle数据库模糊查...
mysql模糊查询:
SQL模糊查询,使用like比较关键字,加上SQL里的通配符,请参考以下: 
1、LIKE'Mc%' 将搜索以字母 Mc 开头的所有字符串(如 McBa...
jquery.autocomplete.css
.ac_results {
 padding: 0
 border: 1
 background-co...
Jeecg 模糊查询 怎么用!
1.场景还原
    由于项目中有很多地方设置了搜索框,所以搜索框之模糊查询势在必得;今晚笔者将详细讲解java之模糊查询的细节及要点,希望能给大伙带来启发。
2.实现方案
后台代码:
①UserIn...
教您如何实现Oracle模糊查询
16:27 佚名 互联网 我要评论(0) 字号:T | T
查询是数据库的核心功能,而模糊查询是最大的难点,下文对Oracle模糊查...
模糊查询内容丰富,用起来灵活随便。此处就写出其基本内容。
1,% :表示任意0个或多个字符。可匹配任意类型和长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。
比如 SELECT * ...
他的最新文章
讲师:王渊命
讲师:蔡栋
您举报文章:
举报原因:
原文地址:
原因补充:
(最多只允许输入30个字)
