ormsql注入

1. sql參數化查詢是如何避免sql注入的

使用hibernate這種ORM就沒問題。不要相信什麼特殊符號過濾，治標不治本，遇到專業的直接破了。

2. 如何防止SQL注入攻擊之java網站安全部署

• java防SQL注入,最簡單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執行SQL語句，其後只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構,大部分的SQL注入已經擋住了,在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數 。下面就舉三個例子來說明一下：

• 第一種：

  採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setString方法傳值即可，如下所示：

  String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName);preState.setString(2, password);ResultSet rs = preState.executeQuery();...

• 第二種：

  採用正則表達式將包含有 單引號(')，分號(;) 和 注釋符號(--)的語句給替換掉來防止SQL注入，如下所示：

  public static String TransactSQLInjection(String str)

  {

  return str.replaceAll(".*([';]+|(--)+).*", " ");

  }

  userName=TransactSQLInjection(userName);

  password=TransactSQLInjection(password);

  String sql="select * from users where username='"+userName+"' and password='"+password+"' "

  Statement sta = conn.createStatement();

  ResultSet rs = sta.executeQuery(sql);

• 第三種：

  使用Hibernate框架的SQL注入防範 Hibernate是目前使用最多的ORM框架，在Java Web開發中，很多時候不直接使用JDBC，而使用Hibernate來提高開發效率。

  在Hibernate中，仍然不應該通過拼接HQL的方式，而應使用參數化的方式來防範SQL注入。有兩種方式，一種仍然是使用JDBC一樣的佔位符「?」，但更好的方式是使用Hibernate的命名參數，例如檢測用戶名和密碼是否正確，使用Hibernate可以寫成如下：

  String queryStr = 「from user where username=:username 」+」password=:password」;

  List result = session.createQuery(queryStr).setString("username", username).setString("password", password).list();

3. ORM 框架能自動防止SQL注入攻擊嗎

ORM，介面封裝在
ORM
機制內部，不對外暴露，理論上防止了
SQL
注入。
但是，外界訪問你的網站不可能直接使用你的對象介面，也就是說你還要提供一個從
on-wire
protocol
到你的對象介面的轉換。
這個轉換的
decode/encode（或者叫做
serialize/deserilize
或者
parsing）也同樣存在被
malformat
數據攻擊的問題。
你只不過把一個叫做「SQL
注入」的特定攻擊變成了你自定義介面格式的攻擊而已。

4. ORM是不是也會存在SQL注入漏洞

會的，主要是看參數如何傳入的，一般用#不要用$就不會有注入問題。

5. 黑客惡意注入SQL命令，是開發的大意還是測試的疏忽

1. SQL非法注入危害有哪些？
危害太大了 你的資料庫的安全完全就是暴露給人家的
2. 如何檢索我們需要的數據？如何通過SQL注入更新和改變資料庫中的數據？
定期檢查吧 分析數據符合你的業務邏輯 金額的話 對賬就差不多了吧
3. 如何在開發環節避免SQL注入，你用過哪些方法？
開發的層次 防注入的插件啊 orm 等 還是看語言吧 以前公司他們用java 封裝jar 包 防注入
4. 在測試過程中，你用過哪些方法來檢測SQL注入？
數據檢索

6. ORM映射框架可以防止SQL注入嗎

可以。ORM是持久化框架。

7. 如何防止網站被SQL注入攻擊之java網站安全部署

開發階段： 使用預編譯的sql 比如statement --> preparedStatement，使用orm框架時 setParameter(參數綁定，而不是在語句中直接拼接)，或者通過servlet進行所有請求攔截過濾攻擊字元

網站10大常見安全漏洞及解決方案

8. 如何對django 進行sql注入

1 用ORM 如果你發現不能用ORM 那麼有可能是你不知道怎麼用 請把實際情況發上來大家討論
2 你堅信那種情況不能用ORM 且不需討論 那麼這不是一個django的問題 任何接受用戶輸入生成query操作資料庫的程序都需要考慮防注入
相信在其他沒有ORM的地方找答案會更容易！

9. sql注入攻擊怎麼解決

網路：

SQL注入攻擊是你需要擔心的事情，不管你用什麼web編程技術，再說所有的web框架都需要擔心這個的。你需要遵循幾條非常基本的規則：
1）在構造動態SQL語句時，一定要使用類安全（type-safe）的參數加碼機制。大多數的數據API，包括ADO和ADO. NET，有這樣的支持，允許你指定所提供的參數的確切類型（譬如，字元串，整數，日期等），可以保證這些參數被恰當地escaped/encoded了，來避免黑客利用它們。一定要從始到終地使用這些特性。
例如，在ADO. NET里對動態SQL，你可以象下面這樣重寫上述的語句，使之安全：
Dim SSN as String = Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname,au_fname FROM authors WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id",SqlDbType.VarChar)
param.Value = SSN
cmd.Parameters.Add(param)
這將防止有人試圖偷偷注入另外的SQL表達式（因為ADO. NET知道對au_id的字元串值進行加碼），以及避免其他數據問題（譬如不正確地轉換數值類型等）。注意，VS 2005內置的TableAdapter/DataSet設計器自動使用這個機制，ASP. NET 2.0數據源控制項也是如此。
一個常見的錯誤知覺（misperception）是，假如你使用了存儲過程或ORM，你就完全不受SQL注入攻擊之害了。這是不正確的，你還是需要確定在給存儲過程傳遞數據時你很謹慎，或在用ORM來定製一個查詢時，你的做法是安全的。
2） 在部署你的應用前，始終要做安全審評（security review）。建立一個正式的安全過程（formal security process），在每次你做更新時，對所有的編碼做審評。後面一點特別重要。很多次我聽說開發隊伍在正式上線（going live）前會做很詳細的安全審評，然後在幾周或幾個月之後他們做一些很小的更新時，他們會跳過安全審評這關，推說，「就是一個小小的更新，我們以後再做編碼審評好了」。請始終堅持做安全審評。
3） 千萬別把敏感性數據在資料庫里以明文存放。我個人的意見是，密碼應該總是在單向（one-way)hashed過後再存放，我甚至不喜歡將它們在加密後存放。在默認設置下，ASP. NET 2.0 Membership API 自動為你這么做，還同時實現了安全的SALT 隨機化行為（SALT randomization behavior）。如果你決定建立自己的成員資料庫，我建議你查看一下我們在這里發表的我們自己的Membership provider的源碼。同時也確定對你的資料庫里的信用卡和其他的私有數據進行了加密。這樣即使你的資料庫被人入侵（compromised）了的話，起碼你的客戶的私有數據不會被人利用。
4）確認你編寫了自動化的單元測試，來特別校驗你的數據訪問層和應用程序不受SQL注入攻擊。這么做是非常重要的，有助於捕捉住（catch）「就是一個小小的更新，所有不會有安全問題」的情形帶來的疏忽，來提供額外的安全層以避免偶然地引進壞的安全缺陷到你的應用里去。
5）鎖定你的資料庫的安全，只給訪問資料庫的web應用功能所需的最低的許可權。如果web應用不需要訪問某些表，那麼確認它沒有訪問這些表的許可權。如果web應用只需要只讀的許可權從你的account payables表來生成報表，那麼確認你禁止它對此表的 insert/update/delete 的許可權。
6）很多新手從網上下載SQL通用防注入系統的程序，在需要防範注入的頁面頭部用 來防止別人進行手動注入測試（。
可是如果通過SQL注入分析器就可輕松跳過防注入系統並自動分析其注入點。然後只需要幾分鍾，你的管理員賬號及密碼就會被分析出來。
7）對於注入分析器的防範，筆者通過實驗，發現了一種簡單有效的防範方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中，發現軟體並不是沖著「admin」管理員賬號去的，而是沖著許可權（如flag=1）去的。這樣一來，無論你的管理員賬號怎麼變都無法逃過檢測。
第三步：既然無法逃過檢測，那我們就做兩個賬號，一個是普通的管理員賬號，一個是防止注入的賬號，為什麼這么說呢？筆者想，如果找一個許可權最大的賬號製造假象，吸引軟體的檢測，而這個賬號里的內容是大於千字以上的中文字元，就會迫使軟體對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來修改資料庫吧。
⒈對表結構進行修改。將管理員的賬號欄位的數據類型進行修改，文本型改成最大欄位255（其實也夠了，如果還想做得再大點，可以選擇備注型），密碼的欄位也進行相同設置。
⒉對表進行修改。設置管理員許可權的賬號放在ID1，並輸入大量中文字元（最好大於100個字）。
⒊把真正的管理員密碼放在ID2後的任何一個位置（如放在ID549上）。
由於SQL注入攻擊針對的是應用開發過程中的編程不嚴密，因而對於絕大多數防火牆來說，這種攻擊是「合法」的。問題的解決只有依賴於完善編程。專門針對SQL注入攻擊的工具較少，Wpoison對於用asp，php進行的開發有一定幫助...。