防止資料庫注入

⑴ 防止sql注入的最佳方式

1、利用第三方軟體加固，監控所有傳入的字元串
2、網上有很多防SQL注入代碼，引入到網頁的每一個需要傳值頁里
3、對於每一個傳值，進行數據類型、長度、規則等判斷，比如傳入ID=1，你要判斷ID里的是不是數字，且不會超過多少位，如果不滿足條件就做其它處理
通常就這三種方法

⑵ 怎麼樣防止Sql注入

(1)對於動態構造SQL查詢的場合，可以使用下面的技術：

第一：替換單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。再來看前面的例子，「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。

第二：刪除用戶輸入內容中的所有連字元，防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢，因為這類查詢的後半部分已經被注釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的密碼就可以順利獲得訪問許可權。

第三：對於用來執行查詢的資料庫帳戶，限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作，因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。

⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外，它還使得資料庫許可權可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。

⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元，那麼不要認可表單中輸入的10個以上的字元，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

⑷ 檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。

在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接刪除腳本），然後將非法內容通過修改後的表單提交給伺服器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象，例如RegularExpressionValidator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己創建一個。

⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據，然後再將它與資料庫中保存的數據比較，這相當於對用戶輸入的數據進行了「消毒」處理，用戶輸入的數據不再對資料庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個，非常適合於對輸入數據進行消毒處理。

⑹ 檢查提取數據的查詢所返回的記錄數量。如果程序只要求返回一個記錄，但實際返回的記錄卻超過一行，那就當作出錯處理。
---------------------------------------------------------------------------------------------------------------------------
關鍵是明白原理，其實防範很簡單的，
1.過濾SQL需要的參數中的敏感字元（注意加入忽略大小寫）
2.禁用資料庫伺服器的xp_cmdshell存儲過程，刪除相應用到的dll
3.屏蔽伺服器異常信息

⑶ 如何防止SQL注入漏洞

1、過濾掉一些常見的資料庫操作關鍵字：select,insert,update,delete,and,*等

或者通過系統函數：addslashes(需要被過濾的內容)來進行過濾。
2、在PHP配置文件中
Register_globals=off;設置為關閉狀態 //作用將注冊全局變數關閉。
比如：接收POST表單的值使用$_POST['user'],如果將register_globals=on;直接使用$user可以接收表單的值。
3、SQL語句書寫的時候盡量不要省略小引號(tab鍵上面那個)和單引號
4、提高資料庫命名技巧，對於一些重要的欄位根據程序的特點命名，取不易被猜到的
5、對於常用的方法加以封裝，避免直接暴漏SQL語句
6、開啟PHP安全模式
Safe_mode=on;
7、打開magic_quotes_gpc來防止SQL注入
Magic_quotes_gpc=off;默認是關閉的，它打開後將自動把用戶提交的sql語句的查詢進行轉換，把'轉為\'，這對防止sql注入有重大作用。
因此開啟：magic_quotes_gpc=on;
8、控制錯誤信息
關閉錯誤提示信息，將錯誤信息寫到系統日誌。
9、使用mysqli或pdo預處理

⑷ 如何防止sql注入攻擊

1、在軟體開發的時候，直接規避sql注入攻擊

2、購買防火牆，態勢感知等網路安全設備對這類行為進行攔截

⑸ 如何從根本上防止 SQL 注入

也許可以這樣回答你，如果能保證應用不使用「用戶輸入的字元串」來拼接成為 「向SQL 伺服器發送的SQL執行字元串」 的話，就可以從根本上防止SQL注入。

一、SQL語言的機理：
1、當前主流的幾大資料庫伺服器的數據存、取、匯總控制，都使用一種文本語句「SQL」語句。
2、當客戶端需要數據，或需要發送數據，或需要匯總數據時，都可以向資料庫發送這種標準的描述性文本，比如向資料庫發送 「select * from bas1.dbo.tab1」就是告訴資料庫，我要取「資料庫bas1」中的「tab1」表中的 所有欄位（用「*」通配來代表）的所有記錄（因為沒有加限制條件）。

二、產生SQL注入的基礎：
1、如果客戶端設計者沒有關注SQL注入方面的問題，就有可能在將用戶輸入進行拼接成SQL語句，並發送到伺服器端時，產生惡意的SQL可執行語句。
2、舉例說明：某個網頁上有個修改用戶密碼口令的功能，正常情況下下，用戶輸入原口令，與將要改成的口令，然後對用戶進行修改。用戶正常情況下輸入簡單的字串作為口令，比如「abcdef」，最終，合成向伺服器發送的語句可能為：
update UserTab set password = 'abcdef' where id=222

3、然而，有個人很淘氣，它輸入的字串為

abcdef' --
那麼，合成的發送給伺服器的語句就成了：
update UserTab set password = 'abcdef' --『 where id=222
這條句語一但發向伺服器，其結果是，所有的人的密碼都將變成 abcdef。
4、當然了，上面只是舉了一個例子，以便於你理解什麼是SQL注入。
（絕大多數應用的口令字串都是要進行加密的，所以，這個例子起僅在：
初級用戶寫的，明文存密碼，沒有注意SQL注入。這些條件合適時才起作用。）
5、同理，你可以想出很多的相關的東西，比如在修改用戶姓名的地方……

三、防止SQL注入的一些辦法：
1、客戶端接收到用戶輸入後，進行一次核查，不讓用戶輸入能產生SQL歧義的字元。比如禁止使用任何英文符號作為密碼、姓名等等。
2、盡可能減少用戶的直接字元的輸入，通配查詢，等。

⑹ 怎樣防止sql注入

可以使用變數綁定的方式就可以防止sql注入，如果是直接拼接的方式那麼就非常容易被注入。比如：select * from tablename where user='admin' and pwd ='123' 假設說這個是一個登錄的sql語句，admin是用戶文本框輸入的，pwd是密碼框輸入的。如果密碼文本框如果輸入：' or '1'='1 那麼拼接起sql就是select * from tablename where user='admin' and pwd ='' or '1'='1' 那麼就會跳過sql的條件就直接進入登錄，但是如果是使用綁定變數的就不一樣
如下：
select * from tablename where user=@user and pwd =@pwd
@user=admin
@pwd=123
這樣的話不管user和pwd傳入的是什麼內容都被sql server識別成字元串而不是直接拼接在sql 語句上。

⑺ 如何徹底防止SQL注入

1、對，限制用戶輸入肯定有效
2、應該也可以做到，但正則不是一種高效的方法，用HtmlEncode的方法可以有效防止空格等被DBMS解釋，但注意別把編碼、解碼搞反了；存儲過程是DBMS執行的一段程序，把數據操縱交給存儲過程執行，而不是提交SQL語句，可以有效防止SQL注入。
3、地址欄的Sql攻擊，下面我引用了一段資料解釋，他關於機制說的較清楚，關於解決，只是從客戶端考慮的，實際上用存儲過程等都可以防範。
資料：
首先，入侵者會對一個網站確定可不可以進行注入，假設一篇文章的地址為：http://www.naohou.cn/show.asp?id=325一般會以提交兩個地址來測試，如：
http://www.naohou.cn/show.asp?id=325 and 1=1
http://www.naohou.cn/show.asp?id=325 and 1=2
第一個地址後面加了 and 1=1，構成的SQL語句也就變為了：Select * from 表單名 where id=1 and 1=1這句話要成立就必須and前後語句都成立。那麼前面的文章地址是可以訪問的，後面的1=1也是客觀成立的，那麼第一個地址就可以正常顯示；相反1=2是顯然不成立的，關鍵就看這步了，如果提交and 1=2頁面還是正常顯示說明他並沒有將and 1=2寫入SQL語句，此站也就不存在注入漏洞；但如果提交and 1=2之後返回了錯誤頁面則說明此站點將後面的語句帶入了SQL語句並執行了，也就說明他可以進行SQL注入。（註：如果地址後面跟的是news.asp?id='1'就得變為news.asp?id=1' and '1'='1來補全引號了）
那麼，知道可以注入後入侵者可以做什麼呢？
這里就簡單的說一下，比如提交這樣的地址：
http://www.naohou.cn/show.asp?id=325 and exists (select * from 表名 where 列名=數據)
根據返回的正確或錯誤頁面來判斷猜的表名和列名是否正確，具體實現時是先猜表名再猜列名。當猜出表名和列名之後還可以用ASC和MID函數來猜出各列的數據。MID函數的格式為：mid(變數名,第幾個字元開始讀取,讀取幾個字元)，比如：mid(pwd,1,2)就可以從變數pwd中的第一位開始讀取兩位的字元。ASC函數的格式為：ASC（"字元串"），如：asc("a")就可以讀出字母a的ASCII碼了。那麼實際應用的時候就可以寫為：asc(mid(pwd,1,1))這樣讀取的就是pwd列的第一個字元的ASCII碼，提交： asc(mid(pwd,1,1))>97以返回的頁面是否為正確頁面來判斷pwd列的第一個字元的ASCII碼是否大於97（a的ASCII碼），如果正確就再試是否小於122（z的ASCII碼）……這樣慢慢縮小字元的ASCII碼的范圍，猜到真實的ASCII碼也只是時間的問題。一位一位的猜就可以得到資料庫中的用戶名和密碼了。還有一種ASP驗證缺陷——就是用戶名和密碼都輸'or '1'='1，構造SQL語句Select * form 表單名 where username='' or '1'='1' and pwd='' or '1'='1'就可以達到繞過密碼驗證的目的。
說了那麼多，其實防範的方法很簡單，我們把特殊字元（如and、or、'、"）都禁止提交就可以防止注入了。ASP傳輸數據分為get和post兩種， get是通過將數據添加到URL後提交的方式，post則是利用郵寄信息數據欄位將數據傳送到伺服器。

⑻ sql注入如何防止

1、使用參數化篩選語句

為了防止SQL注入，用戶輸入不能直接嵌入到SQL語句中。相反，用戶輸入必須被過濾或參數化。參數語句使用參數，而不是將用戶輸入嵌入語句中。在大多數情況下，SQL語句是正確的。然後，用戶輸入僅限於一個參數。

一般來說，有兩種方法可以確保應用程序不易受到SQL注入攻擊。一種是使用代碼審查，另一種是強制使用參數化語句。強制使用參數化語句意味著在運行時將拒絕嵌入用戶輸入中的SQL語句。但是，目前對此功能的支持不多。

2、避免使用解釋程序，這是黑 客用來執行非法命令的手段。

3、防止SQL注入，但也避免一些詳細的錯誤消息，因為黑客可以使用這些消息。標準的輸入驗證機制用於驗證所有輸入數據的長度、類型、語句和企業規則。

4、使用漏洞掃描工具。

但是，防範SQL注入攻擊是不夠的。攻擊者現在自動搜索和攻擊目標。它的技術甚至可以很容易地應用於其他Web體系結構中的漏洞。企業應該投資於專業的漏洞掃描工具，如著名的Accunetix網路漏洞掃描程序。完美的漏洞掃描器不同於網路掃描器，它專門在網站上查找SQL注入漏洞。最新的漏洞掃描程序可以找到最新發現的漏洞。

5、最後，做好代碼審計和安全測試。

⑼ 什麼是sql注入，怎麼防止注入

sql注入其實就是在這些不安全控制項內輸入sql或其他資料庫的一些語句，從而達到欺騙伺服器執行惡意到嗎影響到資料庫的數據。防止sql注入，可以在接受不安全空間的內容時過濾掉接受字元串內的「'」，那麼他不再是一條sql語句，而是一個類似sql語句的zifuc，執行後也不會對資料庫有破壞。 如：-----下面這一段是找的 username = request("username") //獲取用戶名 這里是通過URL傳值獲取的 password = request("password") //獲取密碼 也是通過URL傳值獲取的 sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某個人知道某個用戶名是admin,常常有人網站的管理員用戶名就是admin,這是密碼可以選用'or 1 or ', 那麼sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，顯然1是恆真的，那麼驗證密碼就通過了。補充： 防止的方式比較多，比如可以限制username,password中出現"'"這些字元，一般網站都是只允許數字，字元，下劃線的組合，這可以通過javascript驗證。也可以採取用存儲過程代替sql拼接，等等。