良许Linux教程网 干货合集 缓解SQL注入威胁的三个方法

缓解SQL注入威胁的三个方法

(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)

缓解SQL注入威胁的三个方法

。在MITRE近日发布的过去两年中最常见和最危险的25个软件漏洞列表(见下图)中,SQL注入漏洞的排名高居第六:

三种方法助您缓解SQL注入威胁三种方法助您缓解SQL注入威胁

以下是降低SQL注入漏洞风险的三大方法:

零信任方法

首先确保客户端输入验证不是唯一的防线。这种验证是改善用户体验的好工具,但它不能作为一种安全机制。因为,通过更改浏览器中加载的JavaScript代码,或使用导致SQL注入的参数对客户端-服务器架构中的后端进行基本HTTP调用,可以轻松删除客户端验证。

所以开发人员应该在服务器端进行验证,且尽可能靠近源;开发人员还应该仔细考虑数据库用户权限,所有SQL注入攻击都是有害的,但有些攻击比其他攻击更危险:访问用户信息是一回事,更改或删除信息是另一回事,应考虑特定应用程序是否真的有必要能够截断或删除数据。

除了不允许每个应用程序自由支配一个数据库之外,一个应用程序只有一个数据库用户也是不明智的。应创建多个数据库用户,并将其连接到特定的应用程序中进行角色分工,这可以防止攻击者快速接管整个数据库。

参数是最好的防御手段

提升软件安全性的一个关键方法是使用预设语句和查询参数化。预设语句能够限制可输入的SQL语句:开发人员创建一个带有占位符的基本查询,然后用户给定的参数可以安全地附加到这些占位符上。在使用预设语句和参数化查询时,数据库会首先根据带有占位符的查询字符串构建查询执行计划,然后将(不可信的)参数发送到数据库。

使用存储过程时,参数化也很重要。就像在应用程序中创建的任何SQL查询一样,存储过程也可能被恶意注入。因此,与SQL查询一样,开发人员应该在他们的存储过程中参数化查询,而不是连接参数,以防止注入。

但是,在某些情况下,预设语句不可用。比如如果某种语言不支持预设语句,或者较旧的数据库不允许开发人员将用户输入作为参数提供,此时输入验证是一个可接受的替代方案。但团队应该确保,输入验证依赖的是一个使用维护良好的库或创建一个规则来描述所有允许的模式,例如,使用正则表达式。当然,即使预设语句可用,输入验证也是必须的。

多层安全和严格检查

除了参数化和输入验证之外,开发人员还应考虑使用对象关系映射 ( ORM ) 层来防止SQL注入。将数据从数据库转换为对象,反之亦然,从而减少了显式SQL查询和SQL注入攻击的风险。但是需要注意的是,如果使用错误、过时的Sequelize或Hibernate版本,ORM库中仍然会产生漏洞,因此开发人员必须保持警惕。

最终,无论部署什么安全策略,都必须有一个严格的审查系统来审查代码并标记所有漏洞。代码审查和结对编程确实允许这样做,但手动审查过程总是存在误差。为了获得最高级别的安全性,开发人员应该寻找专门设计的扫描工具来自动检查SQL注入漏洞并提醒他们代码中的所有弱点。

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

邮箱地址不会被公开。 必填项已用*标注

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部