如何防范SQL注入漏洞及检测

 我来答
兕魂
2016-11-17 · TA获得超过4239个赞
知道小有建树答主
回答量:1241
采纳率:92%
帮助的人:263万
展开全部
  SQL注入漏洞攻击的防范方法有很多种,现阶段总结起来有以下方法:
  (1)数据有效性校验。如果一个输入框只可能包括数字,那么要通过校验确保用户输入的都是数字。如果可以接受字母,那就要检查是不是存在不可接受的字符,最好的方法是增加字符复杂度自动验证功能。确保应用程序要检查以下字符:分号、等号、破折号、括号以及SQL关键字。另外限制表单数据输入和查询字符串输入的长度也是一个好方法。如果用户的登录名最多只有10个字符,那么不要认可表单中输入10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
  (2)封装数据信息。对客户端提交的数据进行封装,不要将数据直接存入cookie中,方法就是在编程的代码中,插入session、if、try、else,这样可以有效地防止攻击者获取cookie中的重要信息。
  (3)去除代码中的敏感信息。将在代码中存在的用户名、口令信息等敏感字段删除,替换成输入框。
  SQL=" select from users where username = ’admin’and password= ’1234567’ "
  如:这样显然会暴露管理员的用户名、口令信息。可以将其修改成:
  SQL= " select * from users where username='" +Txtuser.Text + "' and userpwd='" + Textpwd.Text + "'"
  这样就安全了很多,入侵者也是不会轻易的就获取到用户名、口令信息。
  (4)替换或删除单引号。使用双引号替换掉所有用户输入的单引号,这个简单的预防措施将在很大程度上预防SQL注入漏洞攻击,单引号时常会无法约束插入数据的Value,可能给予输入者不必要的权限。用双引号替换掉单引号可以使大部分SQL注入漏洞攻击失败。 如:
  “select* from users where username='" + admin + "' and userpwd='" + 1234567+ "'”
  显然会得到与
  “select * from users where username='admin' and password= '1234567'”
  相同的结果。
  (5)指定错误返回页面。攻击者有时从客户端尝试提交有害代码和攻击字符串,根据Web Service给出的错误提示信息来收集程序及服务器的信息,从而获取想得到的资料。应在Web Service中指定一个不包含任何信息的错误提示页面。
  (6)限制SQL字符串连接的配置文件。使用SQL变量,因为变量不是可以执行的脚本,即在Web页面中将连接数据库的SQL字符串替换成指定的Value,然后将Web.config文件进行加密,拒绝访问。
  (7)设置Web目录的访问权限。将虚拟站点的文件目录禁止游客用户(如:Guest用户等)访问,将User用户权限修改成只读权限,切勿将管理权限的用户添加到访问列表。
  (8)最小服务原则。Web服务器应以最小权限进行配置,只提供Web服务,这样可以有效地阻止系统的危险命令,如ftp、cmd、vbscript等。
  (9)鉴别信息加密存储。将保存在数据库users表中的用户名、口令信息以密文形式保存,也可以对users表进行加密处理,这样可以大大增加对鉴别信息访问的安全级别。
  (10)用户权限分离。应尽可能的禁止或删除数据库中sa权限用户的访问,对不同的数据库划分不同的用户权限,这样不同的用户只能对授权给自己的数据库执行查询、插入、更新、删除操作,就可以防止不同用户对非授权的数据库进行访问。
北京磐安云创科技有限公司_
2023-02-01 广告
价格只是购买产品或服务过程中的一项指标,如果单纯只比较价格,其实考虑并不是那么周到。价格、质量、服务、口碑、是否合适自己的情况等都需要一起考虑。以上回答如果还觉得不够详细,可以来咨询下北京磐安公司。北京磐安公司是一家专业从事高新软件的技术公... 点击进入详情页
本回答由北京磐安云创科技有限公司_提供
青莲网络云服务
2019-08-29 · 国内领先的云计算增值服务提供商
青莲网络云服务
向TA提问
展开全部
SQL注入漏洞测试:
在正常用户名admin后增加一个单引号,单击"登录"
或在URL地址栏直接输入登录后台
若出错,证明没有对'进行过滤,存在SQL注入漏洞
在正常用户名admin后增加一个单引号,单击"登录"
在URL地址栏直接输入后台登录地址
登录出错
登录出错,证明存在SQL注入漏洞。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
沸腾吧凉白开
2019-03-29 · TA获得超过1.5万个赞
知道大有可为答主
回答量:1.4万
采纳率:75%
帮助的人:3106万
展开全部
可以去打开腾讯智慧安全的页面
然后在里面找到御点终端全系统申请是用
然后使用病毒查杀或者修复漏洞去杀毒和修复漏洞就行
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 1条折叠回答
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式