sql注入攻擊怎么解決？SQL注入攻擊，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

SQL注入攻擊屬于數(shù)據(jù)庫安全攻擊手段之一，可以通過數(shù)據(jù)庫安全防護技術(shù)實現(xiàn)有效防護，數(shù)據(jù)庫安全防護技術(shù)包括：數(shù)據(jù)庫漏掃、數(shù)據(jù)庫加密、數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫安全審計系統(tǒng)等。

image.png

防御sql注入攻擊的思路

1.發(fā)現(xiàn)SQL注入位置，判斷后臺數(shù)據(jù)庫類型；

2.確定XP_CMDSHELL可執(zhí)行情況，發(fā)現(xiàn)WEB虛擬目錄；

3.上傳ASP木馬，得到服務(wù)器管理員的權(quán)限。

開啟網(wǎng)站安全防火墻

IIS防火墻，apache防火墻，nginx防火墻等都有內(nèi)置的過濾sql注入的參數(shù)，當(dāng)用戶輸入?yún)?shù)get、post、cookies方式提交過來的都會提前檢測攔截，也可以向國內(nèi)專業(yè)做網(wǎng)站安全的公司咨詢。

image.png

代碼寫入過濾sql特殊字符

對一些特殊字符進行轉(zhuǎn)化，比如單引號，逗號，*，（括號）AND 1=1 、反斜杠、select union等查詢的sql語句都進行安全過濾，限制這些字符的輸入，禁止提交到后端中去。