防止SQL注入和XSS注入的方法總結


1、在OpenResty中添加naxsi加強防御

https://github.com/nbs-system/naxsi

安裝方法

https://www.cnblogs.com/kgdxpr/p/9841456.html

2、防止SQl注入的思路和方法

    1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和 雙"-"進行轉換等。
    
    2.永遠不要使用動態拼裝SQL,可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。
   
    3.永遠不要使用管理員權限的數據庫連接,為每個應用使用單獨的權限有限的數據庫連接。
 
    4.不要把機密信息直接存放,加密或者hash掉密碼和敏感的信息。
    
    5.應用的異常信息應該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝
    
    6.sql注入的檢測方法一般采取輔助軟件或網站平台來檢測,軟件一般采用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻擊等

MySQL安全問題(防范必知)

https://www.cnblogs.com/chenqionghe/p/4873665.html

3、在絕大多數位置,加上代碼級判斷,多重攔截攻擊

package SQL_inject

import "regexp"

// 正則過濾sql注入的方法
// 參數 : 要匹配的語句
func FilteredSQLInject(to_match_str string) bool {
    //過濾 ‘
    //ORACLE 注解 --  /**/
    //關鍵字過濾 update ,delete
    // 正則的字符串, 不能用 " " 因為" "里面的內容會轉義
    str := `(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\b(select|update|and|or|delete|insert|trancate|char|chr|into|substr|ascii|declare|exec|count|master|into|drop|execute)\b)`
    re, err := regexp.Compile(str)
    if err != nil {
        panic(err.Error())
        return false
    }
    return re.MatchString(to_match_str)
}

4、防止xss攻擊

使用這個方法 :golang web xss攻擊預防https://blog.csdn.net/liangguangchuan/article/details/54617685
https://blog.csdn.net/suiban7403/article/details/80565728?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

5、兩台(或多台)主機之間,采用防火牆白名單IP互通,對外只提供80端口,防止端口攻擊

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.110.55"   accept" 
#重新載入
firewall-cmd --reload

一旦出現SQL注入,一切都是零!誰的代碼不按要求進行開發防注入,就處罰誰,而且要狠狠處罰,按月薪一半進行處罰,切切!


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM