sqli漏洞常见防范措施
sql漏洞注入是一种很常见的渗透方法。因此,有许多从事网络安全的工作人员都努力的防范。而常见的防范措施,大体上,分为两类。
一、代码层面
1、对输入进行严格转义和过滤
2、使用预处理和参数化
以php为例,将输入进来的特殊符号进行转义或过滤掉特殊内容,但由于代码升级换代比较快,有些新的符号可能无法及时过滤,因此不推荐使用这种方法。
推荐方法:预处理+参数化
用这种方法不做任何拼接,就可以防止注入的发生
二、网路层面
1、通过AF设备启用防SQL Inject注入策略
2、云端防护
如图:
使用防火墙就可以将恶意请求阻断掉,但也不能代表完全不会出错,因此我们也不能掉以轻心。
有些大企业也会用如下的模型: