SQL注入式攻击,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串中,达到欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入等待内容直接用来构造动态SQL命令,或作为存储过程的输入参数,这类表单特别容易沙鸥到SQL注入式攻击
总结:程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量 get 或 post 提交 sql 语句到服务端正常运行
防止方法:
过滤掉一些常见的数据库关键字;select, insert, update, delete等,或通过系统函数 addslashes(需要过滤的内容)来进行过滤
在PHP配置文件中 registet_global=off;(设置为关闭状态),作用是将注册全局变量关闭掉
sql语句书写的时候,尽量不要忽略小引号和单引号
提高数据库命名技巧,对于一些重要字段根据程序特点命名,取不易猜到的
对于常用的方法加以封装、避免直接暴露sql语句
开启安全模式, safe_mode = on
控制错误信息,关闭错误提示信息,将错误信息写入系统日志文件
扫描二维码关注公众号,回复: 1925198 查看本文章