漏洞描述:
1、SQL注入***就是***者通過欺騙數據庫服務器執行非授權的任意查詢過程。
2、SQL注入***就其本質而言,它利用的工具是SQL的語法,針對的是應用程序開發者在編程過程中的漏洞,“當***者能夠操作數據,嚮應用程序中插入一些SQL語句時,SQL注入***就發生了”。實際上,SQL注入***是***者通過在應用程序中預先定義好的查詢語句結尾加上額外的SQL語句元素,欺騙數據庫服務器執行非授權的任意查詢。SQL注入漏洞是目前互聯網最常見也是影響非常廣泛的漏洞。
漏洞危害:
1、網頁被篡改。
2、數據被篡改。
3、核心數據被竊取。
4、數據庫所在服務器被***變成傀儡主機。
修復方案:
若使用的是第三方CMS程序(如:discuz,dedecms,ecshop等),請將程序升級至最新版即可修復漏洞。
建議過濾用戶輸入的數據,切記用戶的所有輸入都要認爲是不安全的。
方案一:
1、在網頁代碼中需要對用戶輸入的數據進行嚴格過濾。
2、部署Web應用防火牆
3、對數據庫操作進行監控
方案二:
使用開源的漏洞修復插件( 需要站長懂得編程並且能夠修改服務器代碼 )。
具體可以參考: http://bbs.aliyun.com/read.php?spm=0.0.0.0.gzCYm2&tid=137391
功能說明:
可以有效防護XSS,sql注射,代碼執行,文件包含等多種高危漏洞。
使用方法:
將waf.php傳到要包含的文件的目錄
在頁面中加入防護,有兩種做法,根據情況二選一即可:
a).在所需要防護的頁面加入代碼就可以做到頁面防注入、跨站
require_once('waf.php');
如果想整站防注,就在網站的一個公用文件中,如數據庫鏈接文件config.inc.php,來調用本代碼。常用php系統添加文件
引用
PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
DEDECMS5.7 \data\common.inc.php
DiscuzX2 \config\config_global.php
Wordpress \wp-config.php
Metinfo \include\head.php
b).在每個文件最前加上代碼具體做法是:在php.ini中找到 auto_prepent_file並修改爲:
Automatically add files before or after any PHP document;
auto_prepend_file = waf.php路徑;
下載地址:
php代碼補丁 php_patch.zip
asp代碼補丁 asp.zip
本文出自:https://bbs.aliyun.com/read.php?spm=5176.775974981.0.0.hWrn9F&tid=137391