共计 409 个字符,预计需要花费 2 分钟才能阅读完成。
触摸阳光
2021-12-17 18:40:34
浏览数 (2628)
SQL 注入(SQLi)是一种注入攻击,可以执行恶意 SQL 语句。它通过将任意 SQL 代码插入数据库查询,使攻击
者能够完全控制 Web 应用程序后面的数据库服务器。攻击者可以使用 SQL 注入漏洞绕过应用程序安全措施;可
以绕过网页或 Web 应用程序的身份验证和授权,并检索整个 SQL 数据库的内容;还可以使用 SQL 注入来添加,修
改和删除数据库中的记录。
如何防止 SQL 注入攻击?
不要使用动态 SQL
避免将用户提供的输入直接放入 SQL 语句中 ;最好使用准备好的语句和参数化查询,这样更安全。
不要将敏感数据保留在纯文本中
加密存储在数据库中的私有 / 机密数据;这样可以提供了另一级保护,以防攻击者成功地排出敏感数据。
限制数据库权限和特权
将数据库用户的功能设置为最低要求;这将限制攻击者在设法获取访问权限时可以执行的操作。
避免直接向用户显示数据库错误
原文地址: 什么是 SQL 注入攻击, 如何避免
正文完
