產(chǎn)品體驗(yàn)中心 下載與支持 產(chǎn)品社區(qū) 澤眾云   合作代理 |  咨詢(xún)電話:400-035-7887/021-6072 5088

安全測(cè)試SQL 注入攻擊常見(jiàn)幾種方式

發(fā)布時(shí)間:2021-09-01

  安全測(cè)試SQL 注入攻擊常見(jiàn)幾種方式
 
  1.如果使用開(kāi)源系統(tǒng)搭建網(wǎng)站,數(shù)據(jù)庫(kù)結(jié)構(gòu)也是公開(kāi)的(目前有很多現(xiàn)成的系統(tǒng)可以直接搭建論壇 ,電商網(wǎng)站,雖然方便快捷但是風(fēng)險(xiǎn)是必須要認(rèn)真評(píng)估的);
  2.錯(cuò)誤回顯(如果將服務(wù)器的錯(cuò)誤信息直接顯示在頁(yè)面上,攻擊者可以通過(guò)非法參數(shù)引發(fā)頁(yè)面錯(cuò)誤從而通過(guò)錯(cuò)誤信息了解數(shù)據(jù)庫(kù)結(jié)構(gòu),Web 應(yīng)用應(yīng)當(dāng)設(shè)置友好的錯(cuò)誤頁(yè),一方面符合最小驚訝原則,一方面屏蔽掉可能給系統(tǒng)帶來(lái)危險(xiǎn)的錯(cuò)誤回顯信息);
  3.盲注。防范 SQL 注入攻擊也可以采用消毒的方式,通過(guò)正則表達(dá)式對(duì)請(qǐng)求參數(shù)進(jìn)行驗(yàn)證,此外, 參數(shù)綁定也是很好的手段,這樣惡意的 SQL 會(huì)被當(dāng)做 SQL 的參數(shù)而不是命令被執(zhí)行,JDBC 中的 PreparedStatement 就是支持參數(shù)綁定的語(yǔ)句對(duì)象,從性能和安全性上都明顯優(yōu)于 Statement。
 
  推薦閱讀:
 
 
 
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問(wèn)題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。
滬ICP備07036474號(hào) 2003-2024 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd.
微信
咨詢(xún)

添加客服微信 歡迎咨詢(xún)測(cè)試工具和測(cè)試服務(wù)

微信客服
問(wèn)題
反饋
產(chǎn)品
畫(huà)冊(cè)

掃描二維碼下載澤眾軟件企業(yè)宣傳冊(cè)

產(chǎn)品畫(huà)冊(cè)
返回
頂部

方案咨詢(xún)

×
提交信息

電話咨詢(xún),400-035-7887,安排專(zhuān)業(yè)技術(shù)售前給您解答(產(chǎn)品試用、技術(shù)交流、服務(wù)咨詢(xún)和商務(wù)報(bào)價(jià))。

您的信息已成功提交!

我們的客服人員稍后會(huì)與您聯(lián)系