网站代码优化视频教程,如何用群晖nas做网站,wordpress教程 下载地址,开发中英文切换网站如何做转载自 WEB攻击手段及防御第2篇#xff0d;SQL注入 概念 SQL注入即通过WEB表单域插入非法SQL命令#xff0c;当服务器端构造SQL时采用拼接形式#xff0c;非法SQL与正常SQL一并构造并在数据库中执行。 简单的SQL注入的例子#xff1a; 例1#xff1a;test123456 or 11; …转载自 WEB攻击手段及防御第2篇SQL注入 概念 SQL注入即通过WEB表单域插入非法SQL命令当服务器端构造SQL时采用拼接形式非法SQL与正常SQL一并构造并在数据库中执行。 简单的SQL注入的例子 例1test123456 or 11; 加上or 11如果没有防止SQL注入这样攻击者就能成功登录。 例2test123456;drop table xxx-- 这样会删除一个表--后面的就是注释 防御手段 1、禁止采用SQL拼接的形式 这也是最重要的一点要采用参数化的形式。如mybatis参数占位符要使用##,它会给参数默认带上单引号所有输入输入的字符当作一个参数来处理而不是命令不要使用$$它不会带单引号有SQL注入的风险。 2、过滤或转义特殊字符 特殊字符包括如单引号、杠等或者使用正则表达式过滤如drop table、delete..、update..等危害数据库安全的请求前后端都要采用措施。 3、数据库用户权利最小化 不要使用最大权限的管理员进行连接为每个应用使用独立的所在库的账号进行连接这样使权利最小化。 4、发生异常不要使用错误回显 即显示默认的服务器500错误把代码及表名信息直白显示在网页上这样攻击者就能通过恶意操作使网页出现500错误从而看到数据库表名等内部信息。 5、加密存储敏感信息 用户敏感信息如身份证、手机号、邮箱、卡号等一定要加密存储而且要妥善保密密钥。
