Web安全息息相关,Web安全息息相关

从而执行了非法的数据查询,从而执行了非法的数据查询

简介

简介

  SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这一个输入大都是SQL语法里的有的重组,通过举行SQL语句进而实施攻击者所要的操作,其根本原因是程序没有仔细地过滤用户输入的数码,致使非法数据侵入系统。

  SQL注入攻击指的是透过构建特殊的输入作为参数传入Web应用程序,而这么些输入大都是SQL语法里的片段组成,通过实践SQL语句进而实施攻击者所要的操作,其关键原因是先后尚未仔细地过滤用户输入的多寡,致使非法数据侵入系统。

  依照有关技能原理,SQL注入可以分成平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的狐狸尾巴所致;后者紧如果由于程序员对输入未开展细致地过滤,从而执行了地下的数码查询。基于此,SQL注入的暴发原因平常表现在偏下几地点:

  依据有关技能原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的狐狸尾巴所致;后者重如若由于程序员对输入未开展精雕细刻地过滤,从而执行了地下的数量查询。基于此,SQL注入的暴发原因平常表现在以下几地点:

  1.
不当的花色处理;

  1.
不当的系列处理;

  2.
不安全的数据库配置;

  2.
不安全的数据库配置;

  3.
不创制的查询集处理;

  3.
不成立的查询集处理;

  4.
不当的错误处理;

  4.
不当的错误处理;

  5.
转义字符处理不适宜;

  5.
转义字符处理不相宜;

  6.
两个提交处理不当。

  6.
几个提交处理不当。

 

 

防止SQL注入

防止SQL注入

  1.
永远不要相信用户的输入。对用户的输入举办校验,可以通过正则表明式,或限制长度;对单引号和双”-“举行更换等。

  1.
永恒不要相信用户的输入。对用户的输入举行校验,可以经过正则说明式,或限制长度;对单引号和双”-“举办更换等。

  2.
永恒不要使用动态拼装sql,可以利用参数化的sql或者直接利用存储过程进展数据查询存取。(不要拼sql,使用参数化)

  2.
永久不要使用动态拼装sql,能够使用参数化的sql或者直接利用存储过程进展多少查询存取。(不要拼sql,使用参数化)

  3.
千古不要使用管理员权限的数据库连接,为每个应用使用单独的权柄有限的数据库连接。(给程序分配合理的数据库操作权限)

  3.
永远不要使用管理员权限的数据库连接,为每个应用使用单独的权能有限的数据库连接。(给程序分配合理的数据库操作权限)

  4.
毫不把机密音讯直接存放,加密如故hash掉密码和机敏的消息。(敏感新闻加密)

  4.
永不把机密信息间接存放,加密如故hash掉密码和能屈能伸的音信。(敏感信息加密)

  5.
用到的可怜消息应该提交尽可能少的唤醒,最好使用自定义的错误音信对原来错误音讯举行打包。

  5.
施用的非常音讯应该交由尽可能少的唤醒,最好使用自定义的错误信息对原来错误消息举办打包。

 

 

著作转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

随笔转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html