怎么防御SQL注入

44次阅读
没有评论

共计 1164 个字符,预计需要花费 3 分钟才能阅读完成。

自动写代码机器人,免费开通

这篇文章主要介绍怎么防御 SQL 注入,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行, 通过正常的 www 端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。

如何防御 SQL 注入

SQL 注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

防御 SQL 注入有妙法

第一步:很多新手从网上下载 SQL 通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试。可是如果通过 SQL 注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。

第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道 SQL 注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限 (如 flag=1) 去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢? 笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

如何防御 SQL 注入

1. 对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段 255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

2. 对表进行修改。设置管理员权限的账号放在 ID1,并输入大量中文字符(最好大于 100 个字)。

3. 把真正的管理员密码放在 ID2 后的任何一个位置(如放在 ID549 上)。

我们通过上面的三步完成了对数据库的修改。

这时是不是修改结束了呢? 其实不然,要明白你做的 ID1 账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了! 就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。

以上是“怎么防御 SQL 注入”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注丸趣 TV 行业资讯频道!

向 AI 问一下细节

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-12-04发表,共计1164字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)