美文网首页Web安全mysql
WEB攻击手段及防御第2篇-SQL注入

WEB攻击手段及防御第2篇-SQL注入

作者: Java技术栈 | 来源:发表于2017-08-13 11:43 被阅读37次

    概念

    SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行。

    简单的SQL注入的例子:

    例1:test123456 or 1=1;

    加上or 1=1,如果没有防止SQL注入,这样攻击者就能成功登录。

    例2:test123456';drop table xxx--

    这样会删除一个表,--后面的就是注释

    防御手段

    1、禁止采用SQL拼接的形式

    这也是最重要的一点,要采用参数化的形式。如mybatis参数占位符要使用##,它会给参数默认带上单引号,所有输入输入的字符当作一个参数来处理,而不是命令,不要使用$$,它不会带单引号有SQL注入的风险。

    2、过滤或转义特殊字符

    特殊字符包括如:单引号、杠等,或者使用正则表达式过滤如drop table、delete..、update..等危害数据库安全的请求,前后端都要采用措施。

    3、数据库用户权利最小化

    不要使用最大权限的管理员进行连接,为每个应用使用独立的所在库的账号进行连接,这样使权利最小化。

    4、发生异常不要使用错误回显,

    即显示默认的服务器500错误,把代码及表名信息直白显示在网页上,这样攻击者就能通过恶意操作使网页出现500错误从而看到数据库表名等内部信息。

    5、加密存储敏感信息

    用户敏感信息如身份证、手机号、邮箱、卡号等一定要加密存储,而且要妥善保密密钥。

    相关文章

      网友评论

        本文标题:WEB攻击手段及防御第2篇-SQL注入

        本文链接:https://www.haomeiwen.com/subject/axnsrxtx.html