怎样才能更好的防范 SQL inject 攻击
来源:互联网 发布:口袋妖怪游戏作弊软件 编辑:程序博客网 时间:2024/05/06 21:48
1.使用参数化的过滤性语句 要防御SQL注入,用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反,用户的输入必须进行过滤,或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中,SQL语句就得以修正。然后,用户输入就被限于一个参数。下面是一个使用Java和JDBCAPI例子: PreparedStatement prep = conn.prepareStatement("SELECT* FROMUSERSWHEREPASSWORD=?"); prep.setString(1, pwd); 总体上讲,有两种方法可以保证应用程序不易受到SQL注入的攻击,一是使用代码复查,二是强迫使用参数化语句的。强迫使用参数化的语句意味着嵌入用户输入的SQL语句在运行时将被拒绝。不过,目前支持这种特性的并不多。如H2数据库引擎就支持。 2.还要避免使用解释程序,因为这正是黑客们借以执行非法命令的手段。 3.防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 4.使用专业的漏洞扫描工具。但防御SQL注入攻击也是不够的。攻击者们目前正在自动搜索攻击目标并实施攻击。其技术甚至可以轻易地被应用于其它的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具,如大名鼎鼎的Acunetix的Web漏洞扫描程序等。一个完善的漏洞扫描程序不同于网络扫描程序,它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。 5.最后一点,企业要在Web应用程序开发过程的所有阶段实施代码的安全检查。首先,要在部署Web应用之前实施安全测试,这种措施的意义比以前更大、更深远。企业还应当在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。
0 0
- 怎样才能更好的防范 SQL inject 攻击
- SQL注入攻击的防范
- 防范SQL注入攻击的代码
- 防范SQL注入攻击的新办法
- 防范SQL注入攻击的代码
- 防范SQL注入攻击的新办法
- 防范SQL注入攻击的新办法
- 防范SQL注入攻击的新办法
- SQL 注入式攻击的终极防范
- SQL 注入式攻击的终极防范
- 防范SQL注入攻击的新办法
- SQL 注入式攻击的终极防范
- SQL注入攻击的原理与防范
- 防范SQL注入攻击
- 怎样才能更好的培养后代
- 怎样才能更好的优化代码
- 对sql inject的简单防范,据说这样其实是不够的,请明白人加以说明
- XSS攻击的防范
- POJ 1904 King's Quest强连通分量+二分图完美匹配
- CLLocation
- 系统安装教程实录详解(轻松教你装系统)
- 手机号判断
- Ubuntu 14.04 安装 WPS
- 怎样才能更好的防范 SQL inject 攻击
- MeanShift的目标跟踪算法
- 面试题目
- mydql数据备份
- java SpringMVC Filter登录拦截器
- activiti5.17高亮显示流程图中文乱码
- uva11343 - Isolated Segments(两线段相交)
- IntelliJ IDEA 普通java工程如何转为maven工程
- c语言64位打印方法