Web安全有关

简介

  SQL注入攻击指的是经过构建特殊的输入作为参数字传送入Web应用程序,而这一个输入大都以SQL语法里的局地结合,通过施行SQL语句进而实践攻击者所要的操作,其关键原因是先后尚未细心地过滤用户输入的数码,致使违规数据侵入系统。

  依照相关技术原理,SQL注入能够分为平台层注入和代码层注入。后边二个由不安全的数据库配置或数据库平台的尾巴所致;后面一个首倘诺出于程序员对输入未开始展览稳重地过滤,进而施行了违法的数据查询。基于此,SQL注入的发生原因平日表以后以下几地方:

  1.
不宜的品种管理;

  2.
不安全的数据库配置;

  3.
不客观的查询集管理;

  4.
不当的错误管理;

  5.
转义字符处理不合适;

  6.
五个提交管理不当。

 

防止SQL注入

  1.
长久不要相信用户的输入。对用户的输入进行校验,能够经过正则表明式,或限制长度;对单引号和双”-“进行转变等。

  2.
永恒不要选取动态拼装sql,能够选择参数化的sql只怕直接运用存款和储蓄进度进行多少查询存取。(不要拼sql,使用参数化)

  3.
千古不要选择管理员权限的数据库连接,为种种应用使用单独的权限有限的数据库连接。(给程序分合作理的数据库操作权限)

  4.
永不把机密音讯直接存放,加密要么hash掉密码和敏感的音信。(敏感消息加密)

  5.
采用的足够音信应该付出尽大概少的唤醒,最棒使用自定义的错误新闻对本来错误音讯实行打包。

 

小说转发自:http://www.cnblogs.com/Erik_Xu/p/5514879.html

相关文章

admin

网站地图xml地图