SQL Inject注入漏洞的防范
代码层面(也就是从底层,彻底的进行处理这个问题)
-
对前端输入进行严格的转义和过滤
-
使用预处理和参数化(Parameterized )
网路层面(常用的安全设备)
-
通过WAF设备启用防SQL Inject注入策略(或类似防护系统)
-
在主机层面或者云端部署一些设备,做防护(360网站卫士,阿里云盾等)
SQL Inject注入漏洞的防范-PHP防范转义+过滤
转义举例:
function escape($link,$data){
if(is_string($data)){
return mysqli_real_escape_string($link,$data);
}
if(is_array($data)){
foreach ($data as $key=>$val){
$data[$key]=escape($link,$val);
}
}
return $data;
}
写一个php,把前端输入进来的进行转义,把里面的单引号、斜杆、双引号等等,用我们mysql提供的方法,对它进行转义
过滤举例:(黑名单)
str_replace("%","",$_POST['username']),把post里面的数据里面含有%的替换成空
比如说,特殊的内容,就不让它输入,其实在输入层面,做相关的安全措施,不是最好的方法,因为它相当于是个黑名单的机制,因为我们的这个数据库,或者我们一些代码的特性,升级的比较快,转义和过滤可能会导致一些输入,比如说,某些特殊符号,你做了转义,过了段时间,数据库升级了,某一个新的东西就出来了,新的特殊符号,可能出现新的问题,所以说,转义加过滤这样的措施,我们可以去实施,但是在sql注入的防范上面,其实不是最好的方法
SQL Inject注入漏洞的防范-PHP防范案例-PDO预处理(推荐)
现在所有的语言,都提供了参数化的方法
推荐的做法:使用PDO的prepare预处理(预处理+参数化)
PDO是统一的访问数据库的接口,我们可以直接通过它提供的方法,去访问和操作数据库
$username=$_GET['username'];
$password=$_GET['password'];
try{
$pdo=new PDO('mysql:host=localhost;dbname=ant', 'root', 'root');
$sql="select * from admin where username=? and passowrd=?";
$stmt=$pdo->prepare($sql);//先不传参数,先预处理
// var_dump($stmt);
$stmt->execute(array($username,$password));
//这个时候在把参数传进去,以索引数组的方式传进去,而不是拼接,就成功防止了注入
}catch (PDOException $e){
echo $e->getMessage();
}
?>
前端传进来对应的参数,当我们去做数据库操作的时候,之所以形成sql注入漏洞。是因为,我们传进来的参数,直接拼接到数据库里面去了,所以造成了sql漏洞,但是在pdo里面,他去写sql的时候,不会直接把参数传进去,而是用占位符,参数化的方式去写这个参数,与数据库交互的时候,它会首先通过预处理,先把这段sql语句,用占位符代替参数这条语句,去跟数据库驱动进行交互,然后进行个预处理,先把sql这条逻辑去执行,编译,然后这个时候,在把参数传进去,而不是拼接的方式传进去,也就是说,不管我们输入的是什么东西,你可能是个payload,也可以是自己构造的一个闭合的东西,最终传到sql里面的时候,都会把它当作一个整体,而不会去跟原有的sql语句,去拼接,也可以通过wirsheark去抓这个数据包,在pdo跟数据库交互的时候,默认情况下,都有两次交互,首先它会把参数化、占位符传给数据库,然后去预处理,编译一下,然后再传参数,我们可以抓到两个数据包,这样子就是通过PDO,去彻底的避免了拼接sql的做法,从而彻底的防止了sql漏洞
SQL Inject注入漏洞的防范-网络防护
在web应用服务器前部署WAF设备:topo
在很多的甲方公司,都会在互联网的出口,或者是应用服务器的前面,部署应用防火墙,应用防火墙的逻辑是,即使我们的网站存在sql注入漏洞,但是攻击者,通过网络利用这个漏洞的时候,它会去传一些对应的payload,这跟我们之前做测试传的payload一样,但是这个防火墙都会把payload识别出来,你代理的请求里面携带了payload,一种恶意的请求,它会帮我们阻拦掉,它这里有对应的测试库。
它的这个安全,其实是个动态的过程,我们也不能完全依赖于web应用防火墙,也不能完全相信后端开发人员的代码,没有问题。所以,我们往往在甲方的安全建设过程当中,这两步都是要同时推进的,第一步,我们要推进开发人员,安全的写代码,去使用预处理,做相关的数据库操作,第二步,在我们的web应用程序前面,部署我们的应用防火墙,那这样子,相当于从两个维度,都进行了相关的措施实施
SQL Inject注入漏洞的防范-PHP防范案例
除了,我们本地的应用防火墙,还有我们的云WAF,因为我们现在很多企业,都会去过云端,攻击者通过DNS解析到这个IP地址,可能是我们云厂商提供的这个IP,当流量,通过我们的云端,在转发到我们支持的服务器上去的时候,这个云端,其实就相当于提供了云WAF的功能,当然在这里,除了可以提供,云WAF,还可以提供DDOS清洗、SDN加速等等
启用云端防护
云端防护集群
WAF
DDOS清洗
SDN加速
688
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
