6.4 SQL注入攻擊的常用防護方法

SQL注入攻擊的常用防護方法Web滲透與防護WebPenetrationTesting&Protection目錄2SQL注入滲透測試分析13SQL注入攻擊的常見防護方法SQL注入之安全小課堂SQL注入滲透測試分析注入攻擊的發(fā)生條件和流程，區(qū)分不同類型SQL注入的特點sqlmap命令常用參數(shù)布爾盲注和時間盲注SQL手工注入Sqlmap工具注入SQL盲注SQL注入攻擊的常見防護方法輸入驗證和處理懷疑一切用戶輸入，對所有的用戶輸入進行驗證對特殊字符進行轉(zhuǎn)義輸入檢驗mysql_escape_string()函數(shù)：對SQL注入過程中常用的

'、%、_等進行轉(zhuǎn)義長度、類型、范圍、格式等SQL注入攻擊的常見防護方法數(shù)據(jù)庫相關(guān)配置關(guān)鍵數(shù)據(jù)的存放務(wù)必加密數(shù)據(jù)庫連接遵循“最小權(quán)限”原則禁止任何管理員權(quán)限賬戶（如root、sa等）的連接單獨為應(yīng)用程序創(chuàng)建權(quán)限較低的賬戶，進行有限訪問SQL注入攻擊的常見防護方法預(yù)編譯和參數(shù)化語句將SQL語句與用戶輸入的參數(shù)動態(tài)拼裝組成字符串，該字符串提交到數(shù)據(jù)庫被執(zhí)行存在著向數(shù)據(jù)庫直接傳遞不安全參數(shù)的可能性預(yù)編譯就是使用占位符代替語句中的值，將SQL語句參數(shù)化。參數(shù)化語句是指用戶輸入的參數(shù)不會作為SQL語句來執(zhí)行，而是在數(shù)據(jù)庫完成SQL指令的編譯后，才套用參數(shù)運行用戶輸入?yún)?shù)中的惡意指令，被認(rèn)為是一個參數(shù)，不會被數(shù)據(jù)庫執(zhí)行風(fēng)險較高動態(tài)查詢SQL語句預(yù)編譯和參數(shù)化語句SQL注入攻擊的常見防護方法……

//CheckAnti-CSRFtokencheckToken($_REQUEST['user_token'],$_SESSION['session_token'],'index.php');……//Wasanumberentered?if(is_numeric($id)){//Checkthedatabase

$data=$db->prepare('SELECTfirst_name,last_nameFROMusersWHEREuser_id=(:id)LIMIT1;');

$data->bindParam(':id',$id,PDO::PARAM_INT);$data->execute();$row=$data->fetch();……//GenerateAnti-CSRFtokengenerateSessionToken();……使用Anti-CSRFtoken防止CSRF攻擊impossible級防護措施通過prepare語句進行預(yù)編譯，綁定變量id，將代碼和數(shù)據(jù)相分離SQL注入之安全小課堂務(wù)必加強個人信息的安全意識，保護好自己的關(guān)鍵信息！視