郑州北大青鸟翔天信鸽软件学院
您现在的位置:北大青鸟首页 > 技术天地 > 网络工程 > >正文
开班日期
开设班级
开班状态
04日28日
APP手机开发
已满
04月25日
高中软件班
已满
04月15日
校长软件推荐班
余5座
04月24日
IT体验活动
热招
04月20日
java就业班
热招
04月19日
大学生java就业班
余5座
SQL数据库注入攻击 企业是如何应对?
发布来源:未知 发布时间:2010-11-28 16:47 点击次数:65
文章摘要:
对于网站来说,数据库的重要要比任何都重要。在建站时如果没有SQL数据库进行防御措施的话,那么将会受到致命打击的。当SQL注入攻击时,该如何用什么样的方式减低风险呢?下面就介绍一些方法,这些方法是如何防止使用MSSQL数据库的网站不受SQL注入攻击的。 应

         对于网站来说,数据库的重要要比任何都重要。在建站时如果没有SQL数据库进行防御措施的话,那么将会受到致命打击的。当SQL注入攻击时,该如何用什么样的方式减低风险呢?下面就介绍一些方法,这些方法是如何防止使用MSSQL数据库的网站不受SQL注入攻击的。

   应对SQL注入式攻击之使用参数化查询

   企业应当制定并强化自行开发软件的安编码指南,要求开发人员使用参数化查询来构建SQL查询,这样就可以将数据与代码区分开来。

    对于多数SQL查询来说,开发人员需要指明某类标准,为此,就需要利用参数化查询,其实就是在运行时可传递的参数。参数化查询就是在SQL语句中有一个或多个嵌入参数的查询。这种将参数嵌入到SQL语句中的方法与动态构造SQL字符串相比,不易产生错误。下面我们看一个在.NET应用程序中使用参数化查询的例子。假设我们想给张三增加工资500元,可参考如下的代码。这些代码范例演示了参数化查询的使用,并展示了如何使用更新语句:

    通过利用SQL的更新命令,你可以更新记录。在上面的例子中,我们作了如下操作:创建并打开一个数据库链接;创建一个代表执行更新语句的数据库命令;使用EDBCommand 的ExecuteNonQuery()方法执行插入命令。

    每一个参数都用一个EDBParameter对象指明。对于需要在SQL语句中指定的每一个参数来说,你需要创建一个EDBParameter对象,然后将值指派给这个对象。然后,将EDBParameter对象添加到EDBCommand命令的参数集中。

    对于多数开发平台来说,应当使用参数化的语句而不是将用户输入嵌入到语句中。在许多情况下,SQL语句是固定的,每一个参数都是一个标量,而不是一个表。用户输入会被指派给一个参数。下面再给出一个使用Java和

JDBC API的例子:

   PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND   

    PASSWORD=?");

   prep.setString(1, username);

   prep.setString(2, password);

   prep.executeQuery();

    应当确保在查询数据库之前对输入进行净化。要保障用户输入到网站的内容就是你正要查找的数据类型,所以说,如果你正在寻找一个数字,就要努力保障这种输入一定是一个数字而非字符。

    应对SQL注入式攻击之实施过滤和监视工具

    在Web应用程序和数据库这个水平上的过滤和监视工具可有助于阻止攻击并检测攻击行为,从而减轻暴露在大规模的SQL注入式攻击中的风险。

    在应用程序水平上,企业应当通过实施运行时的安监视来防御SQL注入攻击和生产系统中的漏洞。同样地,Web应用防火墙也有助于企业部署某些基于行为的规则集,可以在发生损害之前阻止攻击。

    在数据库水平上,数据库活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种很强大的工具。对于目前所知道的注入攻击而言,应当部署好过滤器,以便向数据库管理员发出警告:正在发生不太安的问题;还要有一些一般的过滤器,用以查找SQL注入攻击中的典型伎俩,如破坏SQL代码的不规则的数字引用等。

    应对SQL注入式攻击之精心编制错误消息

    黑客可以利用你的错误消息,以便于将来对付你。所以开发团队和数据库管理员都需要考虑:在用户输入某些出乎意料的“数据”时,应当返回的错误消息。

   企业应当配置Web服务器和数据库服务器,使其不输出错误或警告消息。因为攻击者可以利用“盲目SQL注入”等技术来了解你的数据库设计细节。

    应对SQL注入式攻击之及时打补丁并强化数据

    由于没有打补丁或者配置错误,而造成与Web应用程序相关联的数据库遭受攻击,那么与SQL注入攻击相关的风险也会因之增加。

    很显然,只要有补丁可用,你就需要给数据库打补丁,并且还要给Web应用程序和Web服务打补丁。

    此外,别忘了你的数据库是怎样配置的。你需要禁用不必要的服务和功能,目的是为了强化数据库及其赖以运行的操作系统。

    应对SQL注入式攻击之限制数据库的权

    较后,企业需要更好地管理与Web应用程序相关的账户与后台数据库交互的方式。许多问题之所以发生,其原因在于数据库管理员面开放了一些账户,其目的是为了让开发人员更轻松地工作。但是,这些超级用户账户极易遭受攻击,并会极大地增加由SQL注入攻击及其它Web攻击给数据库所造成的风险。

    一定要正确地管理所有的账户,使其仅能以较低的权访问后台的数据库,当然前提是能够完成其工作。你一定要保障这些账户不会拥有对数据库作出更改的权利。