nginx防mysql注入_Nginx防止SQL注入攻击配置方法

最新推荐文章于 2024-07-28 17:03:28 发布
最新推荐文章于 2024-07-28 17:03:28 发布
阅读量1k 收藏 2
点赞数
文章标签: nginx防mysql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35128544/article/details/113381058
版权
本文介绍了如何在Nginx层面配置防止SQL注入攻击,包括利用rewrite规则匹配并阻止含有特殊字符的请求,以及禁止文件注入的方法,以增强网站的安全性。
摘要由CSDN通过智能技术生成

我们用得最多的无非就是使用php,asp,asp.net这种代码来实现sql防注入攻击,下面我来介绍如何在Nginx防止SQL注入攻击配置方法

防御原理:

1. 通过以上配置过滤基本的url中的注入关键字;

2. 当然,数据库中的用户密码得加密存放 ;

3. php程序进行二次过滤,过滤GET和POST变量中的关键字;

4. 生产环境关闭PHP和MySQL的错误信息。

SQL注入攻击一般问号后面的请求参数,在nginx用$query_string表示

例如,对于参数中带有单引号的’进行匹配然后定向到错误页面, /plus/list.php?tid=19&mid=1124′

代码如下

复制代码

rewrite ^.*([;'<>]).* /error.html break;

直接写这样的一条重写肯定不会正确匹配,因为rewrite参数只会匹配请求的uri,也就是/plus/list.php部分。

需要使用$query_string 借助if进行判断,如果查询串种包含特殊字符,返回404。

代码如下

复制代码

if ( $query_string ~* “.*[;'<>].*” ){return 404;}

对一些联合进行设置

代码如下

复制代码

if ($request_uri ~* “(cost()|(concat()”) {

return 404;

}

if ($request_uri ~* “[+|(%20)]union[+|(%20)]”) {

return 404;

}

if ($request_uri ~* “[+|(%20)]and[+|(%20)]”) {

return 404;

}

if ($request_uri ~* “[+|(%20)]select[+|(%20)]”) {

return 404;

}

if ( $query_string ~* “.*[;'<>].*” ){

return 404;

}

下面分享一个禁止文件注入的方法

代码如下

复制代码

## 禁掉文件注入

set $block_file_injections 0;

if ($query_string ~ “[a-zA-Z0-9_]=http://”) {

set $block_file_injections 1;

}

if ($query_string ~ “[a-zA-Z0-9_]=(..//?)+”) {

set $block_file_injections 1;

}

if ($query_string ~ “[a-zA-Z0-9_]=/([a-z0-9_.]//?)+”) {

set $block_file_injections 1;

}

if ($block_file_injections = 1) {

return 444;

}

防止注入的方法有很多这里就不一一介绍了,大家可参考参考。

好奇宝宝打脸怪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx护规则,拦截非法字符,防止SQL注入XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
云博客_资源宝分享
02-18 3400
nginx护规则,拦截非法字符,防止SQL注入XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
linux怎么防止sql注入,Nginx防止SQL注入规则,nginxsql注入
weixin_36421674的博客
05-17 381
Nginx防止SQL注入规则,nginxsql注入$request_uriThis variable is equal to the original request URI as received from the client including the args. It cannot be modified. Look at $uri for the post-rewrite/altered...
网络安全专题----sql注入:sqli-Labs 靶场保姆级教程
最新发布
qq_41567696的博客
07-28 718
SQLi-Labs是一款用于学习和练习SQL注入漏洞的开源应用程序。它提供了一系列的漏洞场景和练习环境,帮助用户了解和实践SQL注入漏洞的利用技术。SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中注入恶意的SQL代码,从而绕过应用程序的身份验证、访问敏感数据、修改数据库内容等。通过使用SQLi-Labs,用户可以学习如何识别和利用不同类型的SQL注入漏洞,并了解如何修复和范这些漏洞。
nginx拦截sql注入解决方案
Baron的技术blog
02-23 3244
1.get请求好处理 2 .post请求 由于需要拿到请求体,需要安装lua插件支持 当前方案 : get在server级别处理 post在lication级别处理 if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|WAIT FOR
nginx防止sql注入过滤
忆未来 YZTWZ.COM
09-28 3548
nginx防止sql注入过滤 从web站点搭建的那一天起,安全就成了重中之重的问题。当病毒,恶意数据采集,DDos攻击sql注入等接踵而至的时候我们就要做好范了。         听雨在日常的工作中经常使用nginx,经过分析后发现可以在nginx上做一些安全过滤来范恶意攻击。下面简单的列举了两个例子来做演示。   安全过滤第一招: sql注入攻击 在虚拟主机ser
Nginx如何处理恶意请求?
长风破浪会有时的博客
05-21 402
通过这些配置Nginx可以帮助我们识别和阻挡很多常见的恶意请求,从而保护我们的网站免受攻击。当然,安全是一个持续的过程,我们还需要定期更新和检查我们的配置来应对新的威胁哦!恶意请求通常是坏人(黑客)发送的,他们想占我们的便宜,比如偷取信息、让网站变慢或者崩溃。这些请求可能包含病毒、恶意代码或者大量无用的信息。Nginx有很多方法来识别和阻挡这些恶意请求。这个配置做了什么呢?
Nginx防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
【运维】利用Nginx进行SQL注入
weixin_37543485的博客
09-15 2023
Nginx不直接处理SQL注入,但可以在反向代理层面采取一些措施来增强安全性,主要是利用nginx配置文件nginx.conf中server模块,减少SQL注入攻击的风险。将下面的Nginx配置文件代码放入到server块中,然后重启Nginx即可。
nginx防止sql注入
mush_me的专栏
05-29 231
其实nginx不具备防止sql注入的功能,但是nginx可以过滤url,这样就够了 [code="java"] if ($request_uri ~* "(cost\()|(concat\()") { return 404; } if ($request_uri ~* "[+|(%20)]union[+|(%20)]") { return 404; } if ($re...
Nginx实现异步访问mysql配置方法
09-10
本篇文章将详细介绍如何配置Nginx实现异步访问MySQL。 首先,要实现NginxMySQL的异步访问,我们需要依赖一个特定的Nginx模块——`drizzle-nginx-module`。这个模块允许NginxMySQL进行通信,通过Drizzle API来...
nginxmysql注入_nginx的安全之通过nginx+lua的waf火墙sql注入和cc攻击
weixin_36314729的博客
01-29 496
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
nginx pdo_mysql_docker搭建nginx+php+mysql开发环境
weixin_35927509的博客
02-08 180
搭建环境介绍操作系统Ubuntu 16.04 LTSdocker版本Docker version 17.05.0-ce项目结构参考这里先给出项目结构参考树形图,有的内容是在搭建中产生的,故仅供参考,与后文内容结合看。sail@codeBetter:~$ tree www -L 1www├── default.conf├── Dockerfile├── html├── mysql├── php.in...
nginx 连接 mysql_nginx安装mysql和json模块
weixin_35070925的博客
01-19 371
nginx安装mysql和json模块,在nginx中直接连接mysql,并获取mysql中的数据,并把获取的数据返回json数据到浏览器中,不用再通过php-fpm或lua去连接数据库,提高web的性能。下面是安装过程。系统centos7,nginx版本1.14.0,已安装好nginx中新增加模块。一、安装nginx二、nginx安装mysql和json模块1.mysql模块下载gitclon...
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 4867
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
Nginx 防止SQL注入、XSS攻击的实践配置方法
baoba84620的专栏
06-15 2685
   下班的时候,发现博客访问缓慢,甚至出现504错误,通过 top -i 命令查看服务器负载发现负载数值飙升到3.2之多了,并且持续时间越来越频繁直至持续升高的趋势,还以为是被攻击了,对来访IP进行了阈值限制后效果并不是很明显,CDN服务里限制几个主要...
nginxmysql注入_nginx防止sql注入
weixin_36041939的博客
02-08 494
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。对于简单的情况,比如包含单引号' , 分号;, , 等字符可通过rewrite直接重订向到404页面来避免。用rewrite有个前提需要知道,一般用rewrite进行正则匹配只能匹配到网页的URI,也就是url中?前部分,?以后部分是请求参数。问号后面的请求参数,在nginx用$query_string表 示,不能在rewrite中匹...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值