概念
所谓SQL注入(SQL Injection),就是通过把SQL命令插入WEB表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的。例如,在代码中使用如下SQL语句:
SELECT * FROM USER WHERE NAME = "'" + NAME + "'" AND PASSWORD = "'" + PASSWORD + "'"来验证用户名和密码是否正确,其中NAME和PASSWORD是用户输入的内容,当用户输入名为AA,密码为"BB OR 'A' = 'A’"时,拼接出来的SQL语句就变成了
"SELECT * FROM USER WHERE NAME = 'AA' AND PASSWORD = 'BB' OR 'A' = 'A'",那么只要USER表中有数据,这条SQL语句就会返回结果,这就达到了SQL注入的目的。
作为数据库管理人员,永远不要相信用户的输入;相反,必须认定用户输入的数据永远都是不安全的,对用户输入的数据必须进行过滤处理。
防止SQL注入的方法
-
永远不要信任用户的输入。可以通过正则表达式或者限制长度的方式对用户的输入进行校验;对单引号进行转换等。
-
永远不要使用动态拼接SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询、存取。
-
永远不要使用管理员权限的数据库连接,建议为每个应用赋予单独的权限。
-
不要把机密信息直接存放,建议对密码或敏感信息进行加密或HASH处理。
-
应用的异常信息应该给出尽可能少的提示,最后使用自定义的错误信息对原始错误信息进行包装。
492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
