新闻中心

预防sql注入攻击

作者 / 时间 2020-07-05 11:48:26

预防sql注入攻击怎么做?现在基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,我们需要多方位预防sql注入攻击等,以保证服务器系统的安全运行。

预防sql注入攻击的原则

1.不要随意开启生产环境中Webserver的错误显示。

2.不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。

3.使用预编译绑定变量的SQL语句,做好数据库帐号权限管理,严格加密处理用户的机密信息。

预防sql注入攻击的措施

检查变量数据类型和格式

如果你的SQL语句是类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。

只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。

过滤特殊符号

对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。以PHP为例,通常是采用addslashes函数,它会在指定的预定义字符前添加反斜杠转义,这些预定义的字符是:单引号 (‘) 双引号 (“) 反斜杠 (\) NULL。

绑定变量,使用预编译语句

MySQL的mysqli驱动提供了预编译语句的支持,不同的程序语言,都分别有使用预编译语句的方法,数据库信息采用加密传输协议更安全。

以上是关于预防sql注入攻击的介绍,无忧主机ddos高防体系,能帮助用户抵御多种网络攻击,保证业务正常运行。产品链接

本文地址:https://www.51php.com/news/30080.html

1
1
1
1
1
1
1