防止SQL注入攻击的方法
来源:互联网 发布时间:2008-10-10 15:35:00
攻击者如此青睐Web攻击的一个重要原因是它可以损害一些无辜的站点,并用于感染大量的受害者。事实证明,Web服务器已经被证明是互联网络中的“软柿子”,攻击者们可以充分利用之。这种攻击的唯一受害者就是用户,因为正是用户在浏览受到危害的网站时会将自己暴露给恶意代码。然而,除了用户之外,还有两个受害人,即网站的所有者和管理员。
在近半年来的SQL注入攻击中,这一点尤其明显,在其中,后端数据库可能被恶意代码感染。清理这种攻击的后遗症是很痛苦的,有许多案例证明,清理数据库之后,几小时后会再次遭受攻击。最佳的方法是预防,从一开始就想方设法避免遭受攻击。
在此,笔者只是总结几条技巧,站点所有者和管理员可以遵循之,便可以将遭受攻击的机会最小化。
制定最佳方法
SQL注入攻击并不是新东西,攻击者们掌握这项技巧已经有许多年了。近些日子,许多网站发表了一些文章提供了一些资源,帮助开发人员编写安全代码。安全管理人员应当制定一些通用的安全方法,下面给出三点建议。一、建立参数化的存储进程,二、最少特权连接,三、仅对所有的存储进程授权“运行”许可,四、仅对应用程序域组授予许可
除了一开始就注意安全地开发应用程序,对现有的应用程序实施评估是很重要的,这包括对第三方的应用程序。可以利用惠普发布的Scrawlr来帮助开发人员查找包含漏洞的页面。此外,谷歌提供的ratproxy也是不错的选择。
尽可能少的特权
开发人员应当确保Web应用程序以最少的特权运行,千万不要使用管理员账户运行,如避免使用db_owner 或 sysadmin等账号运行。
服务器日志
跟踪日志对于诊断攻击是很有用的。近半年以来的SQL注入攻击都是通过恶意的HTTP请求发生的。对服务器中的URI查询串进行检查可有助于确认攻击,并可成为日后调查的起始点。
第三方厂商
如果单位使用第三方开发的软件,要确保其遵循最佳的方法。要特别关注其程序的测试,要关注其开发力量和软件升级能力。
保护Web应用程序
现在的市场上,有各种各样的产品可以强化Web应用程序的安全,防御一些攻击。但这些不能成为代替开发安全程序的最佳方法和技巧。例如,Web应用程序防火墙中,现在有大量的商业产品可以选择。有的防火墙,如IPS方案可有助于保护Web服务器免受攻击,并可阻止恶意的请求,防止其访问服务器。
对付Web威胁和SQL注入攻击并没有什么一招制敌的妙方。但是加强对用户的教育,并实施一些行业的最佳方法,这确实可防止通过注入攻击实施的Web损害。
猜你喜欢
- WordPress系统使用时间长了,数据库中的冗余数据就会很多,定期优化和清理Wordpress的数据库,可以保证Wordpress能够快速
- 打开:mode/o/template/m_article.htm查找:<td colspan="3"&g
- 2009年5月19日21时起,在中国北京、天津、上海、河北、山西、安徽、湖北、广东、广西等省陆续出现互联网网络故障,使用电信网络服务的网民上
- Windows系统在长时间地工作之后,往往会不可避免地出现无法启动或者运行出错的故障,面对这些故障我们是选择将就使用,还是选择重新安装系统?
- 12月3日上午消息,28商机在线(28.com)母公司中网在线(OTC:CHNT)已在美国纽约OTCBB市场通过借壳的方式悄然挂牌交易。财报
- 8月14日,PHPWind发布了PHPWind 7.5RC版本,同时PHPWind.com官方网站进行了改版。伴随7.5产品发布,PHPWi
- 相信不少同学在初学做站的时候都曾经有这样的理想,就是弄一个不用每天维护的静态站,把站点的内容做出来(或者,准确的说,是拷贝出来)以后,只要勤
- DNS 是域名系统 (Domain Name System) 的缩写。大家在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址才能访
- WAP SEO和普通的SEO,也就是WEB SEO的目的都是为了在搜索引擎获得很好的排名,而WAP的页面要怎么优化呢?也就是说WAP SEO
- 昨天把治军送我的积木万年历拿到了办公室,放在电脑边。它每月需要调整一次,但使用简单、有趣,而且配有各种图标以提醒我的当月行程安排。在这里对治
- 经常有人会问:我的网站被莫名的挂上木马,怎么能有效的预防网站被挂马?这个问题需要分具体情况来具体分析。一、如果是自己的服务器因为你只需要远程
- DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要手段是通过大于管道处理能力的流量淹没管道或通
- 有人问关键词在整个网站的布局问题。以前也写过帖子介绍过多个关键词的优化问题,今天再补充几点。简单说,多个关键词在网站中需要合理布局,最难的安
- 很多朋友对Google的排名算法如数家珍,操作起来很顺手。却对百度的降权、不收录等问题一筹莫展。君不见Google左侧排名,Google排名
- 远程网络连接在企业的信息化应用中是一门比较实用的技术。他可以通过各种方式实现,如VPN、远程控制工具等等。不过,远程桌面Web连接也是其中的
- 下载并解压此文件,放到您网站的根目录下,命名为 friendlink.登陆phpcms后台,模块位于网站根目录。注意:安装模块前
- 1, 梦想靠淘宝客发大财的。其实,无论阿里妈妈还是其他淘宝客把淘宝客说的天花乱坠,无论多少人说他通过淘宝客赚了多少多少钱,淘宝客终其特性决定
- 或许当初连“开心农场”的开发团队“五分钟”也没有想到,一年之内一场热火朝天的全民“偷菜”运动正在全国兴起。农场游戏全面的流行造就了一个新兴的
- IDS是英文“Intrusion Detection Systems”的缩写,中文意思是&l
- 对于很多站长的网站被某个搜索引擎屏蔽的问题已经很常见了,为什么会出现这样的问题,站长首先要对网站自身分析一下,是否有违反搜索引擎规则的手法,