SQL注入防御:用三种策略应对SQL注入攻击[2]
展开全部
* Microsoft安全部门(The Microsoft Security Development Lifecycle SDL)对SQL注入的防御进行了一些指导 简单来说有三种策略来应对SQL注入攻击
使用SQL参数查询
使用存储过程
使用SQL仅执行(execute only)许可
同时 编写安全的代码(第二版)也指导了如何防御此类攻击
* 减轻SQL注入 使用参数查询(第一部分和第二部分) 使用参数化查询的好处是它将执行的代码(例如SELECT语句)和数据(由程序使用者提供的动态信息)分开 该途径防御了通过用户传递来执行的恶意语句
在经典ASP代码中过滤SQL注入(或者黑名单中的字符) 我们将如下的工作认为是实际中临时性的解决方案 因为它治标不治本 (例如 代码仍然是有漏洞的 他仍然可能被绕过过滤机制而被访问到)
如果你仍然不了解从哪里开始 所有使用特定ASP代码访问数据库 尤其是使用由用户提供的数据的代码应当首先被检测
lishixinzhi/Article/program/SQL/201311/16221
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询