1.如果使用開源系統(tǒng)搭建網(wǎng)站,數(shù)據(jù)庫結(jié)構(gòu)也是公開的(目前有很多現(xiàn)成的系統(tǒng)可以直接搭建論壇 ,電商網(wǎng)站,雖然方便快捷但是風(fēng)險(xiǎn)是必須要認(rèn)真評估的);
2.錯(cuò)誤回顯(如果將服務(wù)器的錯(cuò)誤信息直接顯示在頁面上,攻擊者可以通過非法參數(shù)引發(fā)頁面錯(cuò)誤從而通過錯(cuò)誤信息了解數(shù)據(jù)庫結(jié)構(gòu),Web 應(yīng)用應(yīng)當(dāng)設(shè)置友好的錯(cuò)誤頁,一方面符合最小驚訝原則,一方面屏蔽掉可能給系統(tǒng)帶來危險(xiǎn)的錯(cuò)誤回顯信息);
3.盲注。防范 SQL 注入攻擊也可以采用消毒的方式,通過正則表達(dá)式對請求參數(shù)進(jìn)行驗(yàn)證,此外, 參數(shù)綁定也是很好的手段,這樣惡意的 SQL 會被當(dāng)做 SQL 的參數(shù)而不是命令被執(zhí)行,JDBC 中的 PreparedStatement 就是支持參數(shù)綁定的語句對象,從性能和安全性上都明顯優(yōu)于 Statement。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。