机房收费系统（3）——sql注入

       机房收费系统系统中有大量的数据、信息，同时会面临数据的高频变化，所有对数据的维护以及限定就显得格外重要，否则就会对自己的数据库构成威胁。

       无论任何系统，一旦没有做好对数据的限定，就很有可能引起SQL注入问题，简单的来说就是通过数据的“非异性”来导致非法数据侵入系统，一旦没有做好数据限定，计算机就很有可能将一些特殊字符、数据做一些错误的处理，严重情况下就导致数据库数据信息的破坏。

       要防止SQL注入问题，首先，我们需要了解一些有关sql注入的原理：根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：

1.不当的类型处理；

2.不安全的数据库配置；

3.不合理的查询集处理；

4.不当的错误处理；

5.转义字符处理不合适；

6.多个提交处理不当。

       解了这些原理之后，要想保护好自己数据库的完整性，就需要从以下几方面做好防护：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT  DCAN的防御SQL注入，XSS攻击等。

      具体详细的知识有兴趣的你还可以通过以下链接 http://baike.baidu.com/link?url=74pkJCZJdUCGfc3nqfm5Jw0XIrkZuL0r0cSV1WM2IbFnvnPjUhC8z1ddJDRzJaa3#1_1 获取！