SQL注入是什麼
SQL注入的定義
- 爲了破壞或盜取指定服務器重要信息, Web請求時通過參數改動傳遞一些惡意的 SQL語句來執行, 這種行爲叫 SQL注入
常見 SQL注入攻擊方式
- 攻擊前會先收集相關服務地址和參數以及觀察系統操作流程等, 然後指定入口改動部分參數嘗試請求讓目標服務報錯誤或通過傳遞 SQL語句改動服務器實際業務語句, 以此盜取重要信息
防止 SQL注入
- 不要信任用戶的輸入, 必須對每一個參數值做好過濾
- 不要使用動態拼接 SQL語句
- 在項目內不要使用 root賬號連接數據庫
- 機密信息不要明文保存, 一定要加密保存
- 應用的異常信息儘可能不要太具體, 最好使用自定義的錯誤信息對原始錯誤信息進行包裝
- 項目接口一定採用輔助軟件或網站平臺來做自動化檢測, 常用檢測工具 如: sqlmap 滲透測試工具, JSky 漏洞掃描軟件, 啊D注入工具 等
如果您覺得有幫助,歡迎點贊哦 ~ 謝謝!!