数据库入侵的六大手段与防范措施(五)

简介:

数据库入侵的六大手段与防范措施第五,SQL注入

  SQL注入式攻击并不是什么新事物了,不过近来在网站上仍十分猖狂。近来这种攻击又侵入了成千上万的有着鲜明立场的网站。

  虽然受影响的网页和访问它的用户在这些攻击中典型情况下都受到了重视,但这确实是黑客们进入数据库的一个聪明方法。数据库安全专家们说,执行一个面向前端数据库Web应用程序的SQL注入攻击要比对数据库自身的攻击容易得多。直接针对数据库的SQL注入攻击很少见。

 在字段可用于用户输入,通过SQL语句可以实现数据库的直接查询时,就会发生SQL攻击。也就是说攻击者需要提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
  除客户端之外,Web应用程序是最脆弱的环节。有些情况下,如果攻击者得到一个要求输入用户名和口令的应用程序的屏幕,而且应用程序并不检查登录的内容的话,他所需要做的就是提供一个SQL语句或者数据库命令,并直接转向数据库。Yuhanna说,问题是身份验证和授权已经被移交给了应用程序服务器。

  他说,“此时输入的并不是一个用户名,而是一个SQL命令。它被输入到一个数据包中,并且由应用程序服务器发送给数据库。这个数据库会读取欺诈性的SQL命令,而且它能够完全关闭整个数据库。”

 他说,“这是开发者的一种可悲的开发方法。你必须关注用户正在输入的内容。不管你想执行什么,数据库都会执行。这是很令人惊慌的问题。SQL注入式攻击是一个很大的问题。”

  Sentrigo 的Markovich说,从Web应用程序到数据库两个方面都可以实施SQL注入式攻击,而且可以从数据库内部实施。但有一些程序设计方法可有助于防止应用程序中的SQL注入攻击漏洞,如使用所谓的绑定变量(bind variable)或者使用参数进行查询等。

  Markovich说,在Java等语言中,这就意味着在SQL语句中将问号用作占位符,并将“接收”值与这些占位符绑定。另外一种方法是避免显示某些数据库错误消息,目的是避免将可能敏感的信息透露给潜在的攻击者。

相关文章
|
4天前
|
SQL 监控 Java
Java面试题:简述数据库性能优化的常见手段,如索引优化、SQL语句优化等。
Java面试题:简述数据库性能优化的常见手段,如索引优化、SQL语句优化等。
8 0
|
11月前
|
安全 关系型数据库 MySQL
一文教你如何防御数据库渗透入侵
一文教你如何防御数据库渗透入侵
264 0
一文教你如何防御数据库渗透入侵
|
存储 安全 网络安全
相亲软件开发,保证数据库安全的常用手段
相亲软件开发,保证数据库安全的常用手段
|
SQL 存储 运维
数据库安全加固防止被入侵的一些因素
关于数据库安全的层面大体分为两层:第一层是指系统安全运行。对系统安全运行的威胁主要是指一些网络犯罪分子通过互联网、局域网等侵入计算机的破坏性活动。造成系统不能正常启动,或计算机超负荷运行大量算法,导致CPU风扇故障,造成CPU过热烧坏了主板;第二层是指系统信息安全,通常受到黑客入侵数据库和窃取所需数据的威胁。数据的安全性主要是针对数据库的,它包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等方面。根据一些权威机构的数据泄露调查分析报告和对已发生的信息安全事件的技术分析,总结出信息泄露的两种趋势。
112 0
数据库安全加固防止被入侵的一些因素
|
监控 安全 关系型数据库
MYSQL数据库被入侵篡改了数据 该如何解决?
接触mysql数据库已经很多年了,经常碰到mysql数据库被攻击,导致用户的数据库         丢失,数据库被删除,花钱找人恢复出来少则几万,多则几十万的花费,在防止数         据库被攻击的同时,也要做好数据库的实时备份,如果使用了阿里云的服务器,可         以使用阿里云的快照备份,可以及时的备份一份数据在自己手里。
3326 0
|
8天前
|
存储 关系型数据库 MySQL
探索MySQL:关系型数据库的基石
MySQL,作为全球最流行的开源关系型数据库管理系统(RDBMS)之一,广泛应用于各种Web应用、企业级应用和数据仓库中