开发者社区> 网站安全> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

网站漏洞修复方案防止SQL注入攻击漏洞

简介: SQL注入漏洞在网站漏洞里面属于高危漏洞,排列在前三,受影响范围较广,像asp、.net、PHP、java、等程序语言编写的代码,都存在着sql注入漏洞,那么如何检测网站存在sql注入漏洞? SQL注入漏洞测试方法 在...
+关注继续查看

SQL注入漏洞在网站漏洞里面属于高危漏洞,排列在前三,受影响范围较广,像asp、.net、PHP、java、等程序语言编写的代码,都存在着sql注入漏洞,那么如何检测网站存在sql注入漏洞?

SQL注入漏洞测试方法

在程序代码里不管是get提交,post提交,cookies的方式,都可以有随意控制参数的一个参数值,通过使用sql注入工具,经典的sqlmap进行检测与漏洞利用,也可以使用一些国内的SQL代码注入工具,最简单的安全测试方法就是利用数据库的单引号, AND 1=1 AND 1=2等等的字符型注入来进行测试sql注入漏洞。

SQL注入漏洞解剖

在网站的程序代码里,有很多用户需要提交的一些参数值,像get、post的数据提交的时候,有些程序员没有对其进行详细的安全过滤,导致可以直接执行SQL语句,在提交的参数里,可以掺入一些恶意的sql语句命令,比如查询admin的账号密码,查询数据库的版本,以及查询用户的账号密码,执行写入一句话木马到数据库配置文件,执行系统命令提权,等等.

SQL注入漏洞修复

在最底层的程序代码里,进行sql漏洞修补与防护,在代码里添加过滤一些非法的参数,服务器端绑定变量,SQL语句标准化,是防止网站被sql注入攻击的最好办法。Sine安全公司是一家专注于:网站安全、服务器安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

一、程序代码里的所有查询语句,使用标准化的数据库查询语句API接口,设定语句的参数进行过滤一些非法的字符,防止用户输入恶意的字符传入到数据库中执行sql语句。

二、对用户提交的的参数安全过滤,像一些特殊的字符(,()*&……%#等等)进行字符转义操作,以及编码的安全转换。

三、网站的代码层编码尽量统一,建议使用utf8编码,如果代码里的编码都不一样,会导致一些过滤被直接绕过。

四 网站的数据类型,必须确定,是数字型,就是数字型,字符型就是字符型,数据库里的存储字段类型也设置为ini型。

五 对用户的操作权限进行安全限制,普通用户只给普通权限,管理员后台的操作权限要放开,尽量减少对数据库的恶意攻击。

网站的报错信息尽量不要返回给客户端,比如一些字符错误,数据库的报错信息,尽可能的防止泄露给客户端。

如果对网站程序代码不熟悉的话建议交给专业做安全的公司专业处理,国内推荐Sinesafe,绿盟,启蒙星辰。


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
0 0
【大数据系列之JDBC】(四):Statement存在SQL注入问题
【大数据系列之JDBC】(四):Statement存在SQL注入问题
0 0
SQL注入笔记记录+MySQL的事务隔离级别
(一)SQL注入。 1.如何理解SQL注入? SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。 2.SQL注入是如何产生的?
0 0
MySql基础-笔记12 -重复数据处理、SQL注入、导入导出数据
MySql基础-笔记12 -重复数据处理、SQL注入、导入导出数据
0 0
php操作mysql防止sql注入(合集)
php操作mysql防止sql注入(合集)
0 0
4 SQL注入盲注
所谓的盲注就是在服务器没有错误回显的时候完成的注入攻击。 服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”。
0 0
【工具】sql注入的基本原理与sqlmap的简单使用
本文将介绍超重量级工具SQLMAP的使用,我们将从OSCP经典教材出发,以视频的方式为您讲解其原理,此外我们将常用命令加以整理,为您奉上。
0 0
sql注入详解-01
前言 本文主要记录之前在portswigger官方网站学习时的一些细节; 在不同的情况下会出现各种各样的SQL注入漏洞、攻击和技术。一些常见的SQL注入示例包括: 检索隐藏的数据,可以在其中修改SQL查询以返回其他结果。(就是能够查到其他的正常情况下你没有权限的看到的结果) 颠覆应用程序逻辑,你可以改变一个查询来干扰应用程序的逻辑。 联合攻击,可以从不同的数据库表检索数据。 检查数据库,从中可以提取关于数据库版本和结构的信息。 盲SQL注入,应用程序的响应中不返回你控制的查询结果。
0 0
sql注入详解-02
前言 在利用SQL注入漏洞时,通常需要收集数据库本身的一些信息。这包括数据库软件的类型和版本,以及数据库所包含的表和列的内容。
0 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
文章
问答
文章排行榜
最热
最新
相关电子书
更多
用SQL做数据分析
立即下载
阿里云流计算 Flink SQL 核心功能解密
立即下载
Comparison of Spark SQL with Hive
立即下载