Web安全相关

简介

简介

  SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而那么些输入大都是SQL语法里的有的构成,通过实践SQL语句进而实施攻击者所要的操作,其重点缘由是先后尚未仔细地过滤用户输入的多寡,致使不合规数据侵入系统。

  SQL注入攻击指的是经过构建特殊的输入作为参数传入Web应用程序,而那一个输入大都是SQL语法里的一对结合,通过实践SQL语句进而实施攻击者所要的操作,其关键原因是程序尚未仔细地过滤用户输入的数额,致使不合规数据侵入系统。

  依照相关技能原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的狐狸尾巴所致;后者紧如果由于程序员对输入未开展仔细地过滤,从而执行了不法的数目查询。基于此,SQL注入的爆发原因寻常表现在以下几上边:

  根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的纰漏所致;后者紧如若出于程序员对输入未举办独具匠心地过滤,从而执行了不合规的数量查询。基于此,SQL注入的发生原因寻常表现在偏下几地点:

  1.
不当的类型处理;

  1.
不宜的项目处理;

  2.
不安全的数据库配置;

  2.
不安全的数据库配置;

  3.
不创设的查询集处理;

  3.
不创造的查询集处理;

  4.
不当的错误处理;

  4.
不当的错误处理;

  5.
转义字符处理不得当;

  5.
转义字符处理不适宜;

  6.
三个提交处理不当。

  6.
多个提交处理不当。

 

 

防止SQL注入

防止SQL注入

  1.
千古不要相信用户的输入。对用户的输入举行校验,可以通过正则表明式,或限制长度;对单引号和双”-“举行转换等。

  1.
永远不要相信用户的输入。对用户的输入进行校验,能够由此正则表达式,或限制长度;对单引号和双”-“举办转移等。

  2.
永久不要采取动态拼装sql,能够应用参数化的sql或者直接采纳存储进程举行数据查询存取。(不要拼sql,使用参数化)

  2.
世代不要选用动态拼装sql,能够利用参数化的sql或者直接动用存储进程举行数量查询存取。(不要拼sql,使用参数化)

  3.
世代不要接纳管理员权限的数据库连接,为各种应用使用单独的权力有限的数据库连接。(给程序分合作理的数据库操作权限)

  3.
永恒不要使用管理员权限的数据库连接,为每个应用使用单独的权柄有限的数据库连接。(给程序分协作理的数据库操作权限)

  4.
不要把机密音讯直接存放,加密要么hash掉密码和灵活的新闻。(敏感音信加密)

  4.
决不把机密音讯直接存放,加密抑或hash掉密码和机敏的新闻。(敏感新闻加密)

  5.
利用的那些音信应该提交尽可能少的提醒,最好使用自定义的错误新闻对本来错误音讯进行包装。

  5.
用到的万分消息应该提交尽可能少的唤醒,最好使用自定义的错误新闻对原来错误音讯进行包装。

 

 

小说转发自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

文章转发自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

相关文章

admin

网站地图xml地图