sql注入漏洞

风险等级：高危

SQL注入漏洞描述：

　　SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性的校验，既没有进行有效的特殊字符过滤，导致网站服务器存在安全风险，这就是SQL Injection，即SQL注入漏洞

SQl注入漏洞的危害：

　　1.机密数据被窃取

　　2.核心业务数据被篡改

　　3.网页被篡改

　　4.数据库存在服务器被攻击从而编程傀儡主机，导致局域网（内网）被入侵

SQL注入的分类：

　　提交类型：1.GET　　2.POST　　3.HTTP头　　4.COOKLE

　　两大类：1.显错（union）注入　　2.盲注（1.基于布尔的盲注   2.基于报错的盲注   3.基于延时的盲注）

SQL注入工具：

　　1.Sqlmap　　2.Pangolin　　3.Safe3WVS企业扫描版　　4.超级SQL注入工具

SQL注入漏洞修复方式：

　　1.在网页代码中对用户输入的数据进行严格过滤。（代码层）

　　2.部署Web应用防火墙。（设备层）

　　3.对数据库操作进行监控。（数据库层）

代码层最佳修复方式：PDO预编译

其他防御方式：正则过滤（正则语法都一样）