个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
我想我会就一个选项征求您的意见,我认为这会从根本上消除 SQL 注入(inject)的可能性(我认为)。
目前,我有我的管理员帐户,显然可以让我完全控制数据库(更改、删除等)。我有一个 PHP 使用的帐户,它只能访问 SELECT、UPDATE、DELETE、INSERT。为每个操作设置一个用户,然后只在 mysql_query 语句中引用连接 ID - 现在显然这会给服务器带来更多压力,基本上每个页面必须建立 4 个连接,但如果它安全重要的是,在我看来,这将是一个有效的选项,方法是将命令限制为您希望在这种情况下执行的 EXACT 功能。对此选项的可行性有何想法?
更新:正如我之前没有提到的,这不是防止 SQL 注入(inject)、mysql_real_escape_string()、准备好的语句等的唯一障碍。但我只是在想,如果通过某种方式,所有这些都失败了,会不会这至少限制了他们可以造成的破坏? (例如,在注册表单上,他们将无法选择哈希值或删除条目)。
最佳答案
这不是 SQL 注入(inject)的全部内容。任何时候您在 SQL 查询中使用未经清理的参数,您都会让您的数据库对 SQL 注入(inject)开放,这不一定具有破坏数据的目标。也可能是窃取数据或获得未经授权的访问。
考虑一个非常受限的帐户,它所能做的就是SELECT。您编写一个身份验证查询:
$sql = "SELECT COUNT(*) AS count
FROM users
WHERE user_id='{$_POST['user']}' AND pass='{$_POST['password'}'";
// check if returns a count of 1, if yes, log in
对于正常输入,您希望查询看起来像:
SELECT COUNT(*) AS count
FROM users
WHERE user_id = 'username' AND pass='********'
如果用户名和通行证都匹配,应该返回 1 作为计数。现在攻击者试图以管理员身份登录。由于您还没有清理您的输入,他们发送 $_POST['user'] 作为:admin'; --。整个查询变为:
SELECT COUNT(*) AS count
FROM users
WHERE user_id = 'admin'; -- AND pass='********'
-- 之后的所有内容都是注释,因此忽略其他条件并无论如何返回 1。好了,您刚刚授予了恶意用户管理员访问权限。这就是一些真正的攻击是如何进行的。您从一个低权限帐户开始,然后通过安全漏洞尝试获得更多权限。
长话短说,拥有一个权限受限的应用程序范围的帐户(例如:没有DROP、ALTER 等)很好。永远不要给任何人或任何应用程序超过他们需要的特权。但要防止 SQL 注入(inject),请使用 prepared statements .
关于php - SQL注入(inject)保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7343451/
24
4
0
我已阅读有关依赖注入(inject)的信息。然后来了 构造函数注入(inject), setter/getter 注入(inject) 二传手注入(inject) 接口(interface)注入(in
我正在研究依赖注入(inject)模式。我看过很多例子,其中一个典型的例子是使用 XxxService/XxxRepository 作为例子。但是在我看来,按照UML的概念,类XxxRepositor
我开始使用 Google Guice。 我有一个简单的问题: javax.inject 的 @Inject 注释和 com.google.inject 的 有什么区别@Inject 一个 ? 谢谢。
当使用构造函数注入(inject)工厂方法时,依赖的属性不会得到解析。但是,如果在解析依赖的组件之前解析了工厂方法,则一切都会按预期工作。此外,当仅使用属性注入(inject)或构造函数注入(inje
我有这样的事情: class Root { public Root(IDependency dep) {} } class Dependency:IDependency { p
听完Clean Code Talks ,我开始明白我们应该使用工厂来组合对象。因此,例如,如果 House有一个 Door和 Door有一个 DoorKnob , 在 HouseFactory我们创建
情况:我需要在一些 FooClass 中进行惰性依赖实例化,所以我通过 Injector类作为构造函数参数。 private final Injector m_injector; public Foo
在编写代码时,我们应该能够识别两大类对象: 注入(inject)剂 新品 http://www.loosecouplings.com/2011/01/how-to-write-testable-cod
这个问题是关于 Unity Container 的,但我想它适用于任何依赖容器。 我有两个具有循环依赖关系的类: class FirstClass { [Dependency] pub
如果我有 10 个依赖项我需要注入(inject)并且不想在构造函数中有 10 个参数,我应该使用哪种注入(inject)模式? public class SomeClass { privat
我在使用 Angular2 DI 时遇到了问题。我尝试将一个类注入(inject)另一个类,它引发了以下错误: 留言:"Cannot resolve all parameters for 'Produ
对依赖注入(inject)还很陌生,我想弄清楚这是否是一种反模式。 假设我有 3 个程序集: Foo.Shared - this has all the interfaces Foo.Users -
我正在尝试了解 Angular 14 的变化,尤其是 inject()我可以将模块注入(inject)功能的功能,我不需要为此创建特殊服务..但我想我弄错了。 我正在尝试创建一些静态函数来使用包 ng
希望这个问题不是太愚蠢,我试图掌握更高级的编程原理,因此试图习惯使用 Ninject 进行依赖注入(inject)。 因此,我的模型分为几个不同的 .dll 项目。一个项目定义了模型规范(接口(int
我最近一直在大量使用依赖注入(inject)、测试驱动开发和单元测试,并且开始喜欢上它。 我在类中使用构造函数依赖,这样我就可以为单元测试注入(inject)模拟依赖。 但是,当您实际需要生产环境中的
我有下面的代码来使用 Guice 进行依赖注入(inject)。第一个是使用构造函数注入(inject),而另一个是直接在字段上方添加 @Inject。这两种方式有什么区别吗? Guice官网似乎推荐
这个问题在这里已经有了答案: Angular2 Beta dependency injection (3 个答案) 关闭 7 年前。 我正在使用 angular2 测试版。并在使用 @Inject
有没有可能做这样的事情? (因为我尝试过,但没有成功): @Injectable() class A { constructor(private http: Http){ // <-- Injec
我很恼火必须通过 Constructor 传递管道对象,因为我想为业务实体或要传递的值保留构造函数参数。 所以我想通过 setter ,但只要这些 setter 没有被填充,我的包含依赖项的对象就不应
假设我有这个: SomePage.razor: @inject Something something @page "/somepage" My Page @code { // Using
我是一名优秀的程序员,十分优秀!