天天看點

如何防止網站被SQL注入攻擊?

移動網際網路的發展勢頭已經遠遠超過PC網際網路,手機移動端上網,以及持有量遠超 PC電腦,

随着移動大資料、區塊鍊的技術在不斷的完善,成熟,日常生活中經常會 聽到某某網站被攻擊,

網站被黑的新聞報道,再比如一個團購網站被入侵,導緻用 戶的資訊隐私被洩露,多少萬的會員

資料被盜走,這無意是給網站帶來了嚴重的影 響與經濟損失。     像之前的聯考網站被黑,聯考完的學生們去查聯考分數的這種急迫心情,就這麼被 攻擊者給破壞,

導緻聯考成績不能正常查詢,帶來了更多心裡上的擔心與考生的信 息可能面臨着被洩露,緊接帶

來的就是一系列的經濟詐騙的發生,上面發生的種種 情況,都跟我們今天要說的網站安全防護,

關于如何更好的防止SQL注入攻擊?     網站被黑的情況,經過我們SINE安全公司多年來的安全維護經驗來總結,一般都是 由于網站存在

漏洞,大多數是跟網站SQL注入漏洞有關,mysql資料庫,oracle資料 庫,sql資料庫,都會遭到

sql的注入攻擊,進而導緻網站的資料庫資訊被脫褲,這 種攻擊手段一般會在通路日志以及網站内

部的流量統計裡發現問題,SQL注入攻擊 的技術在近幾年一直在更新變化,攻擊特征也比較另類,

甚至僞裝成正常的sql語 句來執行攻擊者的惡意參數。

  網站的通路,使用者打開網站以及登入,各項的網站互動功能使用過程當中,Linux 伺服器端應該對

前端網站使用者的通路與GET POST,COOKIES送出的參數進行安全過濾 ,把正常的sql語句執行到

資料庫。而攻擊者是利用sql語句執行的便利條件,摻雜 進惡意的sql注入語句執行到資料庫中,

比如查詢網站管理者的賬号密碼,修改網 站會員的提現銀行卡,修改網站的支付接口,支付賬号

,通過資料庫篡改注單,修 改投注記錄、修改會員密碼或者會員的認證資料,銀行卡等攻擊症狀。

總的來說攻 擊者把正常的sql語句轉變成惡意的sql注入語句,執行到資料庫裡并進行讀寫查詢 。     那麼該如何更好的防止網站被sql注入呢?

  首先我們應該對網站程式代碼進行詳細的安全檢測,與網站漏洞檢測,在網站的前 端進行多種方式

的送出與注入檢測,對代碼裡中與使用者互動并與資料庫直接傳輸打 交道的代碼進行嚴查,看看是否

可以摻雜非法的sql注入代碼進去。 對GET、POST、COOKIES的送出進行過濾,過濾特殊符号,

對一些&*%¥#@/等等的符 号,以及轉義符号進行嚴格的過濾與攔截。對前端的網站進行PHP安

全函數的變量 過濾,網站web端的JS過濾檢測是否含有SQL注入的非法參數,比如一些sql注入

代 碼,and 1=1 1=2 select union等查詢的語句過濾。

字元串的安全過濾,對and以及 delete,updata,char,master,chr.exec,mid,declare,or,count

等等的字元串在服 務器端進行嚴格攔截,當使用者輸入過來的值以及資料包中含有以上的字元串,進

行 攔截并記錄到日志裡,以防攔截正常的使用者互動功能使用。

    網站前端也可以使用WAF防火牆,使用CDN進行防護sql注入,國内可以使用百度CDN 來進行防止

sql注入攻擊。

繼續閱讀