簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。 根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...
簡介
SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。
根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的資料庫配置或資料庫平臺的漏洞所致;後者主要是由於程式員對輸入未進行細緻地過濾,從而執行了非法的數據查詢。基於此,SQL註入的產生原因通常表現在以下幾方面:
1. 不當的類型處理;
2. 不安全的資料庫配置;
3. 不合理的查詢集處理;
4. 不當的錯誤處理;
5. 轉義字元處理不合適;
6. 多個提交處理不當。
防止SQL註入
1. 永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和雙"-"進行轉換等。
2. 永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。(不要拼sql,使用參數化)
3. 永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。(給程式分配合理的資料庫操作許可權)
4. 不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。(敏感信息加密)
5. 應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝。
文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5514879.html
