澳门新葡亰官网Web安全系(五):SQL注入(SQL Injection)

澳门新葡亰官网Web安全系(五):SQL注入(SQL Injection)

简介

  SQL注入攻击指的是经过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的有的做,通过实践SQL语句进而实施攻击者所假设的操作,其要因是次尚未仔细地过滤用户输入的数据,致使非法数据侵入系统。

  根据有关技能原理,SQL注入可以分成平台层注入及代码层注入。前者由不安全的数据库配置或者数据库平台的狐狸尾巴所赋;后者主要是由于程序员对输入未开展密切地过滤,从而执行了地下的数目查询。基于这个,SQL注入的发生原因通常表现在以下几点:

  1.
不当的色处理;

  2.
不安全的数据库配置;

  3.
非成立之查询集处理;

  4.
不当的错误处理;

  5.
转义字符处理不恰当;

  6.
大多单提交处理不当。

 

防止SQL注入

  1.
千古不要相信用户之输入。对用户的输入进行校验,可以通过正则表达式,或限长度;对单引号和双”-“进行换等。

  2.
千古不要用动态拼装sql,可以使参数化的sql或者直接利用存储过程进展数据澳门新葡亰官网查询存取。(不要拼sql,使用参数化)

  3.
世代不要使用管理员权限的数据库连接,为每个应用使用单独的权有限的数据库连接。(给程序分配合理之数据库操作权限)

  4.
不要拿机密信息直接存放,加密抑或hash掉密码和机智的信息。(敏感信息加密)

  5.
用之酷信息应该吃出尽可能少的提示,最好用自定义之错误信息对老错误信息进行包装。

 

文章转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

admin

网站地图xml地图