1.数据库的管理员表名尽量不采用常见的名称.
----------------------- 很多SQL注入工具如明小子都是采用穷举法暴力猜测数据库表名称和字段名称,例如明小子自带的管理员表名有:
user
admin
manage
a_admin
x_admin
m_admin
password
admin_userinfo
clubconfig
userinfo
config
company
book
users
adminuser
article_admin
art
bbs
那么我们在设计表名时就要注意了,例如命名为:Blog_UserInfo,Blog_Admin等等.当然了,入侵者可以增加明小子
中管理员的表名.
2.表的密码字段名称尽量不采用常见名称.
---------------------------------例如明小子自带的字段名有:
serpass
password
pass
pwd
pword
adminpassword
adminpass
user_pass
admin_password
user_password
user_pwd
adminpwd
dw
pws
admin_pass
admin_password
name
3.帐户字段也尽量不采用常见形式.
------------------------------
如:
username
user
name
u_name
administrators
userid
adminuser
adminpass
adminname
user_name
admin_name
usr_n
usr
dw
nc
uid
admin
admin_user
admin_username
user_admin
adminusername
pwd
猜解工具就是朝他们奔过去的哈.
我在用工具注入时,发现有些网站超级菜,不用我手动增加表和字段,就被工具猜解到了.所以啊,在表啊,字段啊命名时
还是留个心眼!