SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
概述
欢迎来到本人的SQL注入防御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来防止SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能完全防止注入。相信来到这里,聪明的你一定有下面的疑问,那么有没有一种方法来阻止接受参数的输入呢?只要阻止恶意SQL语句的输入不就达到防止SQL注入的目的吗?没错,这一篇文章正是介绍如何通过过滤关键的SQL语句的关键词来达到阻止SQL注入的目的。
准备
既然要实现黑名单策略,我们第一步当然先来分析一下到底过滤哪些关键词。SQL语句对于数据库的操作离不开“增删改查”和“文件处理”,那么它们分别有哪些关键词呢?
- 基本关键词: and、or、order
- 增的关键词: insert、into
- 删的关键词: delete
- 改的关键词: replace、update
- 查的关键词: union、select、
- 文件处理的关键词: load_file、outfile