概述
SQL注入
利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作
产生的原因
程序开发过程中不注意规范书写SQL语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些SQL语句正常执行。
防止策略
- 严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害
- 检查输入的数据是否具有所期望的数据格式,严格限制变量的类型
- 对进入数据库的特殊字符进行转义处理,或编码转换。
- SQL语句书写尽量不要省略小引号和单引号
- 过滤掉SQL语句中的一些关键字:update、insert、delete、select、*
- 提高数据库表和字段的命名技巧,对一些重要的字段根据程序的特点命名,取不易被猜到的
- 控制错误信息,不在浏览器上输出错误信息,将错误信息写到日志文件中
- 使用MySQLi类和DO 类对SQL语句进行预处理操作
- SQL注入检测工具进行检测,及时修补SQL注入漏洞
最后
以上就是体贴火为你收集整理的SQL注入的全部内容,希望文章能够帮你解决SQL注入所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复