防止SQL注入

文章出處：http://psychicreadingswithdeb.com 作者：開(kāi)發(fā)部 人氣： 發(fā)表時(shí)間：2013年10月30日

就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請求的查詢(xún)字符串，最終達到欺騙服務(wù)器執行惡意的SQL命令。比如有些網(wǎng)站用戶(hù)的密碼被盜取就是通過(guò)這種非法途徑來(lái)獲得的。

防止SQL注入的途徑：

1.永遠不要信任用戶(hù)的輸入。對用戶(hù)的輸入進(jìn)行校驗，可以通過(guò)正則表達式，或限制長(cháng)度；對單引號和
雙"-"進(jìn)行轉換等。
2.永遠不要使用動(dòng)態(tài)拼裝sql，可以使用參數化的sql或者直接使用存儲過(guò)程進(jìn)行數據查詢(xún)存取。

3.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進(jìn)行包裝。

4.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來(lái)檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻擊等。