亚洲必赢手机Web安全相关(五):SQL注入(SQL Injection)Web安全有关(五):SQL注入(SQL Injection)

by admin on 2018年10月5日

简介

简介

  SQL注入攻击指的是经构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些做,通过推行SQL语句进而实施攻击者所设的操作,其主要由是程序尚未仔细地过滤用户输入的数额,致使非法数据侵入系统。

  SQL注入攻击指的凡由此构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的组成部分结缘,通过推行SQL语句进而实施攻击者所设之操作,其首要由是次没有仔细地过滤用户输入的数,致使非法数据侵入系统。

  根据有关技术原理,SQL注入可以分成平台层注入及代码层注入。前者由未安全的数据库配置或者数据库平台的纰漏所赋予;后者要是出于程序员对输入未开展细致地过滤,从而执行了黑的数额查询。基于此,SQL注入的发出原因通常表现在以下几者:

  根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全之数据库配置或者数据库平台的尾巴所给;后者要是由于程序员对输入未开展精雕细刻地过滤,从而执行了黑的数查询。基于此,SQL注入的来原因通常表现于偏下几方:

  1.
不当的门类处理;

  1.
不宜的品种处理;

  2.
请勿安全之数据库配置;

  2.
不安全之数据库配置;

  3.
无客观的查询集处理;

  3.
未成立之查询集处理;

  4.
不当的错误处理;

  4.
不当之错误处理;

  5.
转义字符处理不恰当;

  5.
转义字符处理不得当;

  6.
基本上只提交处理不当。

  6.
差不多独提交处理不当。

 

 

防止SQL注入

防止SQL注入

  1.
世代不要相信用户之输入。对用户的输入进行校验,可以经正则表达式,或限长度;对单引号和双”-“进行更换等。

  1.
永远不要相信用户之输入。对用户的输入进行校验,可以经正则表达式,或限长度;对单引号和双”-“进行换等。

  2.
永恒不要动动态拼装sql,可以应用参数化的sql或者直接采用存储过程进展数量查询存取。(不要拼sql,使用参数化)

  2.
永久不要以动态拼装sql,可以用参数化的sql或者直接以存储过程进行数据查询存取。(不要拼sql,使用参数化)

  3.
永久不要采用管理员权限的数据库连接,为每个应用使用单独的权能有限的数据库连接。(给程序分配合理之数据库操作权限)

  3.
千古不要使用管理员权限的数据库连接,为每个应用使用单独的权有限的数据库连接。(给程序分配合理之数据库操作权限)

  4.
永不拿机密信息直接存放,加密要hash掉密码和机智的音信。(敏感信息加密)

  4.
毫不管机密信息直接存放,加密还是hash掉密码和伶俐的信。(敏感信息加密)

  5.
行使之慌信息应受有尽可能少的提拔,最好以从定义之错误信息对原来错误信息进行包装。

  5.
动的异常信息应该于来尽可能少的提拔,最好用由定义的错误信息对原错误信息进行打包。

 

 

章转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

文章转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图