如何防止sql恶意注入SQL注入其实就是利用不严谨的SQL查询方法和语言来构造具有危害性的SQL语句,数据库一旦执行了这些SQL,黑客的目的就能达到了。像以前最为常见的SQL注入就是:’ or 1=’1 类似这种的SQL构造。
考虑到数据库类型不同,SQL操作上也是有一定区别的,但对于SQL注入防御手段而言还是有一些共同方案的,结合偶的开发经验总结出一些方案供大家参考:
1、用户所有的输入数据务必做校验
“永远不要相信用户的输入”,所以在WEB应用中,但凡是用户提交的数据大家都要进行合法性校验,另外要做必要的数据类型转换和过滤,比如通常大家会将用户输入的单号引、双引号等字符做一个转换,防止其直接传递到SQL语句中。
2、SQL预编译
开发人员在处理查询时,不要采取拼接SQL这种方式来处理,建议使用预编译SQL,参数使用占位符来替换。
3、服务器关闭错误回显
线上服务器可以关闭具体的错误回显,不要将具体的错误信息暴露给攻击者(如果暴露这些错误信息会被黑客利用),所以通常大家都是做个友好的错误页来作为出错时的提示页。
像一些WEB容器、语言/脚本/框架的版本信息也要隐藏或者伪造一个。
4、服务器对GET、POST数据进行处理
比如大家通过Nginx来对用户的GET、POST数据进行一个校验,如果包含某些危险字符(比如SQL关键字、特殊字符等),则直接拒绝请求。
5、数据库层面上严格控制权限
不同应用使用不同的帐号来操作数据库,不能使用超级帐户来操作数据库,另外不同业务分配不同的数据库帐号,比如:只读权限、只写权限等,另外像DROP这类操作就不允许执行了。
另外数据库端口禁止外网访问。
以上就是防止SQL注入的一些方案,如果大家有不同看法,欢迎在下方评论区发表自己的观点 ~ 偶是科技领域创作者,十年互联网从业经验,偶了解更多科技知识!