发生于数据层的安全漏洞,在输入数据字符串中夹带SQL指令,在设计不良的程序中忽略了检查。
主要原因
使用字符串连接方式组合SQL指令
使用权限过大的账户
开放了不必要但权力过大的功能
太过于信任用户所输入的数据,未限制输入的字符数,以及未对用户输入的数据做潜在指令的检查
注入原理
组合SQL命令字符串,未针对单引号字符串做取代处理的话,将导致该字符串变量在填入命令字符串时,被恶意篡改原本的
SQL语法的作用。
危害
使用他人ID登陆系统
到取数据库中非授权数据
恶意删除/修改 数据库/数据表/纪录
修改或更改操作系统
获得系统更高极权限
破坏硬盘数据
防御SQL注入式攻击
完全使用参数化查询
先针对传入参数做字符取代
使用其它更安全的方式连接SQL数据库例如已经修正过SQL注入问题的数据库连接组件。例如ASP.NET的SqlDataSource对
象或是LINQ to SQL
使用SQL防注入系统。
主要原因
使用字符串连接方式组合SQL指令
使用权限过大的账户
开放了不必要但权力过大的功能
太过于信任用户所输入的数据,未限制输入的字符数,以及未对用户输入的数据做潜在指令的检查
注入原理
组合SQL命令字符串,未针对单引号字符串做取代处理的话,将导致该字符串变量在填入命令字符串时,被恶意篡改原本的
SQL语法的作用。
危害
使用他人ID登陆系统
到取数据库中非授权数据
恶意删除/修改 数据库/数据表/纪录
修改或更改操作系统
获得系统更高极权限
破坏硬盘数据
防御SQL注入式攻击
完全使用参数化查询
先针对传入参数做字符取代
使用其它更安全的方式连接SQL数据库例如已经修正过SQL注入问题的数据库连接组件。例如ASP.NET的SqlDataSource对
象或是LINQ to SQL
使用SQL防注入系统。
