防止SQL注入

文章出處：http://hlpi.cn 作者：開發(fā)部

就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串,，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,。比如有些網(wǎng)站用戶的密碼被盜取就是通過這種非法途徑來獲得的。

防止SQL注入的途徑：

1.永遠(yuǎn)不要信任用戶的輸入,。對(duì)用戶的輸入進(jìn)行校驗(yàn),，可以通過正則表達(dá)式，或限制長(zhǎng)度,；對(duì)單引號(hào)和
雙"-"進(jìn)行轉(zhuǎn)換等,。
2.永遠(yuǎn)不要使用動(dòng)態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲(chǔ)過程進(jìn)行數(shù)據(jù)查詢存取,。

3.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示,，最好使用自定義的錯(cuò)誤信息對(duì)原始錯(cuò)誤信息進(jìn)行包裝。

4.sql注入的檢測(cè)方法一般采取輔助軟件或網(wǎng)站平臺(tái)來檢測(cè),，軟件一般采用sql注入檢測(cè)工具jsky,，網(wǎng)站平臺(tái)就有億思網(wǎng)站安全平臺(tái)檢測(cè)工具。MDCSOFT SCAN等,。采用MDCSOFT-IPS可以有效的防御SQL注入,，XSS攻擊等。