归纳一下,主要有以下几点:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
参考:
http://msdn.microsoft.com/en-us/magazine/cc163917.aspx
http://www.unixwiz.net/techtips/sql-injection.html
http://www.nextgenss.com/papers/more_advanced_sql_injection.pdf
http://www.securiteam.com/securityreviews/5DP0N1P76E.html
http://xkcd.com/327/
http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/
分享到:
相关推荐
C# MVC 过滤器防止SQL注入
jsp 防止sql注入jsp 防止sql注入jsp 防止sql注入jsp 防止sql注入
mybatis如何防止SQL注入
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python中防止sql注入的方法,需要的朋友可以参考下。
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
详细的介绍了防止sql注入攻击,内附asp.net 源码和vb.net源码。是初学者不错的选择。希望能够帮助到你。
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
C#防止SQL注入式攻击C#防止SQL注入式攻击
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么答案
Java防SQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
安全编译代码,防止sql注入,防止网站被黑。防止sql注入,数据库数据丢失。
整站防止SQL注入式入侵 - 整站防止SQL注入式入侵 -
防止SQL注入式攻击例程序,可以参考学习使用。。。。。。。。。。。
java版防止sql注入的filter 如果好用,别忘记了来评论一下,受益于更多的人
网站开发中最重要的就是安全问题,本资源是本人应用中总结出来的防止sql注入的方法
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入 asp的朋友可以看看 分享
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx