@秒灵儿
2年前 提问
1个回答

截断注入是什么

Andrew
2年前

截断注入就是常说的SQL注入攻击,简称注入攻击,是发生于应用程序之间数据库层的安全漏洞,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序之中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。

防御截断注入的方法如下:

  • 不要使用动态SQL

    避免将用户提供的输入直接放入SQL语句中;最好使用准备好的语句和参数化查询,这样更安全。

  • 不要将敏感数据保留在纯文本中

    加密存储在数据库中的私有/机密数据;这样可以提供了另一级保护,以防攻击者成功地排出敏感数据。

  • 限制数据库权限和特权

    将数据库用户的功能设置为最低要求;这将限制攻击者在设法获取访问权限时可以执行的操作。

  • 避免直接向用户显示数据库错误

    攻击者可以使用这些错误消息来获取有关数据库的信息。

  • 使用Web应用程序防火墙(WAF)

    这为面向Web的应用程序提供了保护,它可以帮助识别SQL注入尝试;根据设置,它还可以帮助防止SQL注入尝试到达应用程序(以及数据库)。

  • 定期测试与数据库交互的Web应用程序

    这样做可以帮助捕获可能允许SQL注入的新错误或回归。

  • 将数据库更新为最新的可用修补程序

    这可以防止攻击者利用旧版本中存在的已知弱点/错误。