如何防止网站被SQL注入攻击?-阿里云开发者社区

开发者社区> 网站安全> 正文

如何防止网站被SQL注入攻击?

简介: 移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑,随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会听到某某网站被攻击,网站被黑的新闻报道,再比如一个团购网站被入侵,导致用户的信息隐私被泄露,多少万的会员数据被盗走,这无意是给网站带来了严重的影响与经济损失。
+关注继续查看
移动互联网的发展势头已经远远超过PC互联网,手机移动端上网,以及持有量远超PC电脑,

随着移动大数据、区块链的技术在不断的完善,成熟,日常生活中经常会
听到某某网站被攻击,

网站被黑的新闻报道,再比如一个团购网站被入侵,导致用
户的信息隐私被泄露,多少万的会员

数据被盗走,这无意是给网站带来了严重的影
响与经济损失。
 
 
像之前的高考网站被黑,高考完的学生们去查高考分数的这种急迫心情,就这么被攻击者给破坏,

导致高考成绩不能正常查询,带来了更多心里上的担心与考生的信
息可能面临着被泄露,紧接带

来的就是一系列的经济诈骗的发生,上面发生的种种
情况,都跟我们今天要说的网站安全防护,

关于如何更好的防止SQL注入攻击?
 
 
网站被黑的情况,经过我们SINE安全公司多年来的安全维护经验来总结,一般都是由于网站存在

漏洞,大多数是跟网站SQL注入漏洞有关,mysql数据库,oracle数据
库,sql数据库,都会遭到

sql的注入攻击,进而导致网站的数据库信息被脱裤,这
种攻击手段一般会在访问日志以及网站内

部的流量统计里发现问题,SQL注入攻击
的技术在近几年一直在升级变化,攻击特征也比较另类,

甚至伪装成正常的sql语
句来执行攻击者的恶意参数。

 
网站的访问,用户打开网站以及登录,各项的网站交互功能使用过程当中,Linux服务器端应该对

前端网站用户的访问与GET POST,COOKIES提交的参数进行安全过滤
,把正常的sql语句执行到

数据库。而攻击者是利用sql语句执行的便利条件,掺杂
进恶意的sql注入语句执行到数据库中,

比如查询网站管理员的账号密码,修改网
站会员的提现银行卡,修改网站的支付接口,支付账号

,通过数据库篡改注单,修
改投注记录、修改会员密码或者会员的认证资料,银行卡等攻击症状。

总的来说攻
击者把正常的sql语句转变成恶意的sql注入语句,执行到数据库里并进行读写查询
 
 
那么该如何更好的防止网站被sql注入呢?

 
首先我们应该对网站程序代码进行详细的安全检测,与网站漏洞检测,在网站的前端进行多种方式

的提交与注入检测,对代码里中与用户交互并与数据库直接传输打
交道的代码进行严查,看看是否

可以掺杂非法的sql注入代码进去。
对GET、POST、COOKIES的提交进行过滤,过滤特殊符号,

对一些&*%¥#@/等等的符
号,以及转义符号进行严格的过滤与拦截。对前端的网站进行PHP安

全函数的变量
过滤,网站web端的JS过滤检测是否含有SQL注入的非法参数,比如一些sql注入

码,and 1=1 1=2 select union等查询的语句过滤。


字符串的安全过滤,对and以及delete,updata,char,master,chr.exec,mid,declare,or,count

等等的字符串在服
务器端进行严格拦截,当用户输入过来的值以及数据包中含有以上的字符串,进

拦截并记录到日志里,以防拦截正常的用户交互功能使用。
 
 
网站前端也可以使用WAF防火墙,使用CDN进行防护sql注入,国内可以使用百度CDN来进行防止

sql注入攻击。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7259 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2510 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2120 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11035 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
6030 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
2951 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
20970 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
5844 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
400
文章
184
问答
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载