一,在不改动现有系统任何代码的前提下,防止SQL注入
比如下面这个场景:服务器中难免有些安全性比较差的程序,比如使用了老版本的dedecms。或者某个程序引用的第三方插件,在SQL处理上,没有使用参数绑定,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。
二,如何选择
市面上的WAF有三种形态,硬件Web防火墙、Web防护软件和云Waf。 最为灵活的方案是选择Web防护软件。
三,安装配置
服务器环境Windows server 2008, Apache是PHP官方推荐的Windows二进制版 http://www.apachelounge.com/ 。
首先安装好Apache 2.4,下载对应版本的mod_security http://www.apachelounge.com/download/ 。
我下载的是 mod_security-2.9.2-win64-VC15.zip 解压后,里面有两个文件夹,mod_security和mlogc中readme.txt,有安装过程。### mod_security中Readme.txt的大致内容:
安装mod_security-2.9.2
拷贝 mod_security2.so 到你的 apache/modules 文件夹
拷贝 yajl.dll and libcurl.dll 到你的 apache/bin 文件夹
配置文件 httpd.conf:
取消注释,
LoadModule security2_module modules/mod_security2.so
LoadModule unique_id_modul