安全漏洞防御(3) WEB攻击手段及防御第2篇

概念

SQL注入即通过WEB表单域插入非法SQL命令，当服务器端构造SQL时采用拼接形式，非法SQL与正常SQL一并构造并在数据库中执行。

简单的SQL注入的例子：

例1：test123456 or 1=1;

加上or 1=1，如果没有防止SQL注入，这样攻击者就能成功登录。

例2：test123456’;drop table xxx–

这样会删除一个表，–后面的就是注释

防御手段

1、禁止采用SQL拼接的形式

这也是最重要的一点，要采用参数化的形式。如mybatis参数占位符要使用##,它会给参数默认带上单引号，所有输入输入的字符当作一个参数来处理，而不是命令，不要使用$$，它不会带单引号有SQL注入的风险。

2、过滤或转义特殊字符

特殊字符包括如：单引号、杠等，或者使用正则表达式过滤如drop table、delete…、update…等危害数据库安全的请求，前后端都要采用措施。

3、数据库用户权利最小化

不要使用最大权限的管理员进行连接，为每个应用使用独立的所在库的账号进行连接，这样使权利最小化。

4、发生异常不要使用错误回显，

即显示默认的服务器500错误，把代码及表名信息直白显示在网页上，这样攻击者就能通过恶意操作使网页出现500错误从而看到数据库表名等内部信息。

5、加密存储敏感信息

用户敏感信息如身份证、手机号、邮箱、卡号等一定要加密存储，而且要妥善保密密钥。

安全漏洞防御(3) WEB攻击手段及防御第2篇－SQL注入相关推荐

WEB攻击手段及防御－扩展篇
转载自 WEB攻击手段及防御-扩展篇之前的文章介绍了常见的XSS攻击.SQL注入.CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方 ...
WEB攻击手段及防御第1篇－XSS
概念 XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的 ...
WEB攻击手段及防御第2篇－SQL注入
概念 SQL注入即通过WEB表单域插入非法SQL命令,当服务器端构造SQL时采用拼接形式,非法SQL与正常SQL一并构造并在数据库中执行. 简单的SQL注入的例子: 例1:test123456 or ...
WEB攻击手段及防御第3篇－CSRF
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器sessio ...
网络安全：常见攻击手段及防御
随着互联网的发展,网络安全日益显的尤为重要,接下来介绍一下常见的web攻击手段. 1.XSS攻击(Cross Site Scripting) 全称跨站脚本攻击是一种常见的攻击手段之一,攻击者主要通 ...
常见的Web攻击手段，拿捏了！
大家好,我是小菜. 一个希望能够成为吹着牛X谈架构的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍互联网中常见的 Web 攻击手段如有需要,可以参考如有 ...
常见的Web攻击手段-整理
整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击文件上传漏洞 DDoS攻击其他攻击手段 XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠 ...
常见的攻击手段及其防御方式
本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS XSS 概念全称是跨站脚本攻击(Cross Site Scripting),指攻击 ...
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
Nginx攻击防护.CC防护.防止SQL注入.防XSS的实践配置方法防止SQL注入.XSS攻击 Nginx安全防护屏蔽那些恶意的IP和垃圾蜘蛛 nginx网站攻击防护 Nginx简单防御CC攻击资 ...

安全漏洞防御(3) WEB攻击手段及防御第2篇－SQL注入

安全漏洞防御(3) WEB攻击手段及防御第2篇－SQL注入相关推荐

最新文章

热门文章