Web安全相关(五):SQL注入(SQL Injection)

  2.
永远不要拔取动态拼装sql,能够使用参数化的sql或者直接动用存储过程进展数据查询存取。(不要拼sql,使用参数化)

  4.
不当的错误处理;

  1.
不宜的类型处理;

 

  SQL注入攻击指的是透过构建特殊的输入作为参数传入Web应用程序,而这几个输入大都是SQL语法里的局部组成,通过实施SQL语句进而实施攻击者所要的操作,其重要缘由是程序没有仔细地过滤用户输入的数据,致使非法数据侵入系统。

  1.
永远不要相信用户的输入。对用户的输入举行校验,能够经过正则表明式,或限制长度;对单引号和双”-“举行转移等。

  4.
不用把机密音信直接存放,加密抑或hash掉密码和能屈能伸的音信。(敏感信息加密)

  5.
用到的可怜信息应该提交尽可能少的唤醒,最好使用自定义的错误音讯对原来错误音信举行包装。

防止SQL注入

  6.
三个提交处理不当。

简介

  2.
不安全的数据库配置;

  3.
不客观的查询集处理;

  3.
千古不要拔取管理员权限的数据库连接,为各种应用使用单独的权力有限的数据库连接。(给程序分配合理的数据库操作权限)

  按照有关技能原理,SQL注入能够分成平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的尾巴所致;后者首如若由于程序员对输入未开展密切地过滤,从而执行了不法的多少查询。基于此,SQL注入的发出原因平日表现在偏下几方面:

 

  5.
转义字符处理不确切;

小说转载自:http://www.cnblogs.com/Erik_Xu/p/5514879.html