该如何防止SQL注入攻击

  • 该如何防止SQL注入攻击已关闭评论
  • 2 views
  • A+
所属分类:编程开发 运维实战
该如何防止SQL注入攻击

移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑,

随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击,

网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员

数据被盗走,这无意是给网站带来了严重的影响与经济损失。

像之前的高考网站被黑,高考完的学生们去查高考分数的这种急迫心情,就这么被攻击者给破坏,

导致高考成绩不能正常查询,带来了更多心里上的担心与考生的信息可能面临着被泄露,紧接带

来的就是一系列的经济诈骗的发生,上面发生的种种情况,都跟我们今天要说的网站安全防护,

关于如何更好的防止SQL注入攻击?

网站被黑的情况,经过我们SINE安全公司多年来的安全维护经验来总结,一般都是由于网站存在

漏洞,大多数是跟网站SQL注入漏洞有关,mysql数据库,oracle数据库,sql数据库,都会遭到

sql的注入攻击,进而导致网站的数据库信息被脱裤,这种攻击手段一般会在访问日志以及网站内

部的流量统计里发现问题,SQL注入攻击的技术在近几年一直在升级变化,攻击特征也比较另类,

甚至伪装成正常的sql语句来执行攻击者的恶意参数。

网站的访问,用户打开网站以及登录,各项的网站交互功能使用过程当中,Linux服务器端应该对

前端网站用户的访问与GET POST,COOKIES提交的参数进行安全过滤,把正常的sql语句执行到

数据库。而攻击者是利用sql语句执行的便利条件,掺杂进恶意的sql注入语句执行到数据库中,

比如查询网站管理员的账号密码,修改网站会员的提现银行卡,修改网站的支付接口,支付账号

,通过数据库篡改注单,修改投注记录、修改会员密码或者会员的认证资料,银行卡等攻击症状。

总的来说攻击者把正常的sql语句转变成恶意的sql注入语句,执行到数据库里并进行读写查询。

那么该如何更好的防止网站被sql注入呢?

首先我们应该对网站程序代码进行详细的安全检测,与网站漏洞检测,在网站的前端进行多种方式

的提交与注入检测,对代码里中与用户交互并与数据库直接传输打交道的代码进行严查,看看是否

可以掺杂非法的sql注入代码进去。对GET、POST、COOKIES的提交进行过滤,过滤特殊符号,

对一些&*%¥#@/等等的符号,以及转义符号进行严格的过滤与拦截。对前端的网站进行PHP安

全函数的变量过滤,网站web端的JS过滤检测是否含有SQL注入的非法参数,比如一些sql注入

代码,and 1=1 1=2 select union等查询的语句过滤。

字符串的安全过滤,对and以及delete,updata,char,master,chr.exec,mid,declare,or,count

等等的字符串在服务器端进行严格拦截,当用户输入过来的值以及数据包中含有以上的字符串,进

行拦截并记录到日志里,以防拦截正常的用户交互功能使用。

网站前端也可以使用WAF防火墙,使用CDN进行防护sql注入,国内可以使用百度CDN来进行防止

sql注入攻击。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 微信公众号
  • 微信公众号扫一扫
  • weinxin
avatar