Web安全相关,Web安全相关

简介

简介

  SQL注入攻击指的是经过构建特殊的输入作为参数传入Web应用程序,而这个输入大都是SQL语法里的一对组合,通过实践SQL语句进而实施攻击者所要的操作,其关键原因是先后尚未仔细地过滤用户输入的数额,致使非法数据侵入系统。

  SQL注入攻击指的是因此构建特殊的输入作为参数传入Web应用程序,而那么些输入大都是SQL语法里的有些结缘,通过实施SQL语句进而实施攻击者所要的操作,其利害攸关缘由是先后尚未仔细地过滤用户输入的数量,致使非法数据侵入系统。

  依照相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的纰漏所致;后者重假若由于程序员对输入未举行密切地过滤,从而执行了地下的多少查询。基于此,SQL注入的暴发原因平常表现在偏下几下面:

  遵照相关技能原理,SQL注入能够分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的纰漏所致;后者重假诺由于程序员对输入未举行周详地过滤,从而执行了地下的数额查询。基于此,SQL注入的爆发原因平时表现在以下几地点:

  1.
不宜的品类处理;

  1.
不宜的门类处理;

  2.
不安全的数据库配置;

  2.
不安全的数据库配置;

  3.
不客观的查询集处理;

  3.
不客观的查询集处理;

  4.
不当的错误处理;

  4.
不当的错误处理;

  5.
转义字符处理不适宜;

  5.
转义字符处理不适合;

  6.
六个提交处理不当。

  6.
四个提交处理不当。

 

 

防止SQL注入

防止SQL注入

  1.
永恒不要相信用户的输入。对用户的输入举办校验,可以因而正则表明式,或限制长度;对单引号和双”-“举办转移等。

  1.
千古不要相信用户的输入。对用户的输入进行校验,可以经过正则表明式,或限制长度;对单引号和双”-“举办更换等。

  2.
世代不要使用动态拼装sql,可以采取参数化的sql或者直接选拔存储过程举办数据查询存取。(不要拼sql,使用参数化)

  2.
永远不要接纳动态拼装sql,可以行使参数化的sql或者直接接纳存储过程进展数量查询存取。(不要拼sql,使用参数化)

  3.
永久不要选择管理员权限的数据库连接,为各种应用使用单独的权位有限的数据库连接。(给程序分配合理的数据库操作权限)

  3.
世代不要采纳管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。(给程序分配合理的数据库操作权限)

  4.
不用把机密音信直接存放,加密或者hash掉密码和敏感的信息。(敏感音讯加密)

  4.
决不把机密消息直接存放,加密抑或hash掉密码和机敏的音讯。(敏感音讯加密)

  5.
利用的相当音讯应该交由尽可能少的唤醒,最好使用自定义的错误信息对原来错误音信举办打包。

  5.
采纳的老大信息应该付出尽可能少的唤醒,最好使用自定义的错误消息对原来错误音讯举办包装。

 

 

著作转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

著作转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

相关文章

admin

网站地图xml地图