安全研究

SQL 注入攻擊

漏洞描述

SQL 注入攻擊指攻擊者通過欺騙數據庫服務器,來(lái)執行未授權的任意查詢。SQL 注入攻擊借助 SQL 語法,針對(duì)應用(yòng)程序開(kāi)發者在編程過程中的缺陷或不嚴謹代碼,當攻擊者能(néng)夠操作(zuò)數據,向應用(yòng)程序中插入一些(xiē) SQL 語句時(shí),SQL 注入攻擊就發生了(le)。通常情況下(xià),攻擊者會(huì)在應用(yòng)程序中預先定義好(hǎo)的查詢語句結尾加上(shàng)額外(wài)的 SQL 語句元素,來(lái)實現(xiàn) SQL 注入攻擊

修複建議(yì)

若您使用(yòng)的是第三方 CMS程序(如:Discuz!,DedeCMS,ECshop等),請(qǐng)将程序升級至最新版本。 
過濾用(yòng)戶輸入的數據。默認情況下(xià),應當認爲用(yòng)戶的所有輸入都是不安全的。 
在網頁代碼中需要對(duì)用(yòng)戶輸入的數據進行嚴格過濾。 
部署 Web 應用(yòng)防火牆。對(duì)數據庫操作(zuò)進行監控
Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司