最近客户反馈网利宝APP客户端有SQL注入漏洞(高手在民间。。。)。对于一个金融P2P的应用来说安全是第一生命。出现这样的问题是非常严重的,而SQL注入又是非常隐蔽的,跟代码编写人员的自身修为有很大关系,所以没方法完全杜绝这些事情的发生。整个产品线投入了review代码的进程中。。。
要解决一个问题,首先要需要了解:它是什么?它是怎么产生的?怎么能解决掉它?如何有效防止它再次发生?
什么是SQL注入?
SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。
随着B/S模式被广泛的应用,用这种模式编写应用程序的程序员也越来越多,但由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。
SQL注入的过程: