防止SQL注入
文章出處(chù):http://www.10ybwg.org.cn 作者:開(kāi)發部
[文章(zhāng)內容簡介(jiè)]:防止SQL注入
就是通過把SQL命令插入到Web表單遞交或輸入域名(míng)或頁麵請求的(de)查詢字符串,最終達到欺騙(piàn)服務器執行(háng)惡意的SQL命令。比如有些網站用戶的密碼被盜取就是通(tōng)過(guò)這種(zhǒng)非法途徑來獲得的。
防止SQL注入(rù)的途徑:
1.永(yǒng)遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限製長度(dù);對單(dān)引號和
雙"-"進行轉換等。
2.永遠不要使(shǐ)用動態(tài)拚裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3.應用的異常信息應(yīng)該給出盡可(kě)能少(shǎo)的提示,最好使用自定義的錯誤(wù)信息對原始錯誤信息進行包裝。
4.sql注入的檢測方法一般采取輔助軟件或網站平台來檢測,軟件一般采用sql注入檢測工具jsky,網站平台就有億思網站(zhàn)安全平台檢測工具(jù)。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防禦SQL注入,XSS攻擊等。
本文關鍵詞:SQL注入的危害和防止(zhǐ) [
]
上一篇:如何開啟guest賬戶[ 10-29 ]
下一篇(piān):門禁配鎖須知(zhī)[ 10-30 ]
