1.SQL注入?
通過SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。
2.防止SQL注入,我們需要注意以下幾個要點:
①永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和 雙"-"進行轉換等;
②永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取;
③永遠不要使用管理員權限的數據庫連接,為每個應用使用單獨的權限有限的數據庫連接;
④不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息;
⑤應用的異常信息應該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝;
⑥sql注入的檢測方法一般采取輔助軟件或網站平台來檢測,軟件一般采用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻擊等。
3.防范一般的SQL注入只要在代碼規范上下點功夫就可以了。
文檔地址: