回覆列表
  • 1 # 佛系創業碼農

    這個問題感覺對一個多年開發人員來說應該還是比較有資格回答的,畢竟錄製過sql注入以及防禦的課程。

    搞明白sql注入

    注入攻擊漏洞例如SQL,OS以及LDAP注入。這些攻擊發生在當不可信的資料作為命令或者查詢語句的一部分,被髮送給直譯器的時候。攻擊者傳送的惡意資料可以欺騙直譯器,以執行計劃外的命令或者在未被恰當授權時訪問資料。

    然後給大家看看經常會引起sql注入的sql語句

    1"or 1=1 #

    2"or 1=1 --(空格)

    3union all select 1,2,3 #

    4username=‘ UNION SELECT 1,version(),3 #(版本)

    5username=‘ UNION SELECT 1,user(),3 #(使用者)

    然後再給大家介紹一下sql注入的一個工具是sqlmap

    最後給大家兩點建議

    1 使用預處理語句PDO

    2 對引數進行轉義(addslashes/mysql_real_escape_string)

    當然了大家如果想具體學習sql的攻擊原理以及,sql的防禦。和sqlmap的使用可以私聊我哦

  • 2 # 新生活達人

    方法有很多,網上的參考例子也比較多,建議從以下幾個方面進行:

    一、使用好的php框架

    例如目前流行的thinkphp等框架等,已經考慮了這些方面問題,直接應用肯定會比自己寫的程式碼防注入性要強一些,畢竟每個人的水平參差不齊,總有遺漏的地方。

    二、每個頁面對輸入的值進行過濾和校驗

    這個工作量會比較大,就是驗證一下輸入的值是否符合要求,比如一個數字引數,傳了一些古怪字元進來,都是要過濾的。php裡面也有引數設定對get,post值進行處理,去掉分隔符等。

    三、伺服器託管

    最好選擇如騰訊雲,阿里雲這些伺服器,相對比自己去其他小機房託管,本身就可以幫阻止一些不必要的攻擊了。

    四、伺服器執行許可權

    這裡有2個地方:

    1、設定使用非root使用者來執行你的php,防止php擁有太多的執行伺服器指令的機會。

    2、對於php中,能夠上傳檔案的php程式,以及上傳的檔案,要進行專門驗證,不要讓別人有利用這個入口上傳木馬後臺程式的機會。

    五、掃描工具

    上傳程式到伺服器以後,可以用例如360的漏洞掃描工具,掃描一下網站,看看有沒有明顯的漏洞。

    希望以上思路可以對大家有所參考和幫助!

    -------------------------------------------

  • 中秋節和大豐收的關聯?
  • 做二維碼的時候,能不能匯入資料?不重複?