sql注入是大家基本都清楚，一般来说用参数化就能解决注入的问题，也是最好的解决方式。
有次技术群里问到一个问题，如下图

很显然tableName是外部传递过来的，暂时不考虑具体的业务环境，但如果以select * from @table 把表名称当参数肯定是不能执行的，如果是拼接sql会有注入的危险。那么此情况怎么才能避免sql注入？
后来想到一个方式，如下图

看起来用到了参数化，应该没有注入的危险吧？那就写例子试试看

结果很不好，测试表tb还是被注入了数据。为什么会这样？其实仔细分析下，这种写法是数据库端进行sql拼串，基本上越过了参数化。

要不进行字符串过滤吧，那好我写个replace方法，比说过滤一些sql关键词：select ，insert， .....等等。把这些关键词替换成""（空字符串），但这方式还有个漏洞 ：举个例子，sSELECTelect 被替换后，就变成了select，还是有关键词。为了避免这种情况的发生，建议把关键词替换成空格而不是空字符串，这样sSELECTtelect 替换关键词为空格，就变成了 s elect，基本上算是安全一些了。推荐防范sql注入，最好还是参数化。

再回过头怎么解决刚才那个问题，怎么查传递过来的表名称，可以使用系统表查表

上图代码有再优化的可能，不在本文讨论范围内

总结：

1 推荐使用参数化的方式解决sql注入问题。如果用到了参数化，避免数据库内部再拼串执行sql的可能。
2 过滤数据库关键词，最好替换成空格！

防范sql注入值得注意地方的更多相关文章

1. 利用“参数赋值”防范SQL注入漏洞攻击

   <<年轻,无权享受>————送给每一个看到此文的同僚们 在这无精打采的炎夏 我躺在阳台上房东的旧沙发 回想几个月来遇到的问题 我不禁内心开始慌张喘着粗气 还有大把时间去打拼 没有到只 ...

2. 防范 SQL 注入攻击

    防范 SQL 注入攻击 我们执行的 SQL语句中包含变量,执行的时候会直接把变量内容替换进去.而如果攻击者在输入框中输入一些危险的字符(通常包含 SQL 注释符 --,以及其他预先精心设置的内容), ...

3. MySQL防范SQL注入风险

   MySQL防范SQL注入风险 0.导读 在MySQL里,如何识别并且避免发生SQL注入风险 1.关于SQL注入 互联网很危险,信息及数据安全很重要,SQL注入是最常见的入侵手段之一,其技术门槛低.成本 ...

4. 数据库防火墙如何防范SQL注入行为

   SQL注入是当前针对数据库安全进行外部攻击的一种常见手段.现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击.将SQL命令巧妙的插入通讯的交 ...

5. 防范SQL注入漏洞攻击

   原理:通过拼sql语句,在输入框里输入' ; SHOW TABLES;注入这样的代码, 防范:你把全部的特殊符号都过滤掉(如单引号,双引号),自然就不会被注入 使用mysql_real_escape_ ...

6. 防范SQL注入

   使用占位符的方式写查询语句hibernate

7. php web开发安全之sql注入和防范：（一）简单的select语句注入和防范

   sql注入主要是指通过在get.post请求参数中构造sql语句,以修改程序运行时所执行的sql语句,从而实现获取.修改信息甚至是删除数据的目的,sql被注入的原因主要是代码编写的有问题(有漏洞),只 ...

8. web攻击之三：SQL注入攻击的种类和防范手段

   观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. ...

9. PHP SQL注入的防范

   说到网站安全就不得不提到SQL注入(SQL Injection),如果你用过ASP,对SQL注入一定有比较深的理解,PHP的安全性相对较高,这是因为MYSQL4以下的版本不支持子语句,而且当php.i ...

随机推荐

1. dataview将excel表格的数据导出成txt文件

   有时候需要处理大量的数据,且这些数据又存在于excel表格内,在平时的时候,我是非常喜欢这样的数据的,因为只要是excel表格内的数据,处理起来的方法就很方便.也可能我平时遇见的数据总是以一种杂乱无章 ...

2. （转）KeyDown、KeyUp、KeyPress区别

   Windows窗体通过引发键盘事件来处理键盘输入以响应Windows消息,大多数Windows窗体应用程序都通过处理键盘事件来以独占方式处理键盘输入. 1．按键的类型 Windows窗体将键盘输入标 ...

3. MySql的join（连接）查询 （三表 left join 写法）

   1.内连接:将两个表中存在连结关系的字段符合连接条件的记录形成记录集 Select A.name,B.name from A inner join B on A.id=B.id和 Select A.n ...

4. 14个最受欢迎的Python开源框架

   本文从GitHub中整理出的14个最受欢迎的Python开源框架.这些框架包括事件I/O,OLAP,Web开发,高性能网络通信,测试,爬虫等. Django: Python Web应用开发框架 Dja ...

5. yum安装gcc

   如果服务器是自己的,并且机器就在身边,那什么都不用说了,缺少gcc顶多就是重新放入安装盘,把开发工具包安装上.但是如果是租的服务器,托管服务 方那帮人又搞不懂你说的啥子gcc,要安装gcc实在是太麻烦 ...

6. BZOJ 2432 兔农

   Description 农夫栋栋近年收入不景气,正在他发愁如何能多赚点钱时,他听到隔壁的小朋友在讨论兔子繁殖的问题. 问题是这样的:第一个月初有一对刚出生的小兔子,经过两个月长大后,这对兔子从第三个月 ...

7. XTU1199：Number Game

   题目描写叙述 给你一个有N个数的集合S和一个数X,推断是否存在S的一个子集,子集里的数的最小公倍数正好是X. 输入 第一行是数据组数T. 接下来有多组数据,每组数据包括两行: 第一行有2个数N和X,1 ...

8. 使用reserve要再次避免不必要的分配

    关于STL容器,最了不起的一点是,它们会自己主动增长以便容纳下你放入当中的数据,仅仅要没有超出它们的最大限制就能够.对于vector和string,增长过程是这样来实现的:每当须要很多其它空间时 ...

9. OpenVPN CentOS7 安装部署配置详解

   一 .概念相关 1.vpn 介绍 vpn 虚拟专用网络,是依靠isp和其他的nsp,在公共网络中建立专用的数据通信网络的技术.在vpn中任意两点之间的链接并没有传统的专网所需的端到端的物理链路,而是利 ...

10. Autofac之依赖注入

    这里主要学习一下Autofac的依赖注入方式 默认构造函数注入 class A { public B _b; public A() { } public A(B b) { this._b = b; } ...