SQL注入攻击

 

SQL注入攻击

  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的域或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。

  在某些表单中,用户输入的内容直接用来构造懂态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

 

  由于SQL注入式攻击利用的是合法的SQL语句,使得这种攻击不能被防火墙检查出来,而且由于对任何基于SQL语言标准的数据库都适用,所以危害特别大。

 

  防止SQL注入式攻击的方法:

  1)在利用表单输入的内容构造SQL命令之前,对用户输入进行验证(利用正则表达式)与替换。

    例如替换单引号,即把所有单独出现的单引号改为两个单引号,防止攻击者修改SQL命令的含义。

  2)避免使用解释程序,攻击者一般借以执行非法命令。

  3)对查询字符串、用户登录名称、密码等进行加密处理。

  4)删除用户输入内容中的所有连字符,防止攻击者顺利获得访问权限。

  5)对于用来执行查询的数据库账户,限制其权限。

  6)用存储过程来执行所有查询。

  7)检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行。

  8)检查提取数据的查询所返回的记录数量。






 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值