MySQL注入攻击防范之道(过滤mysql注入)
MySQL注入攻击是一种在应用中植入恶意代码,通过破坏数据库等手段,破坏数据安全和网站正常运行的攻击手段,因此应对MySQL注入攻击的安全防范势在必行。
首先,在MySQL语句拼接中,应尽量避免使用字符串拼接,采用预处理和参数化查询,有效控制SQL语句,否则攻击者可能利用拼接字符串中未处理好的SQL语句,进行SQL注入。
其次,应对敏感字符和特殊字符进行过滤,如大于号、小于号、单引号、双引号。这些字符容易引发SQL注入,建议网站开发储备一份敏感字符过滤表,存放可能引发SQL注入的字符,杜绝直接被提交的敏感字符攻击。
另外,也可以在数据库层面增加安全防护,设置不可写入表,甚至可以对数据库予以权限限制,使攻击者无法修改或删除数据,大大减少MySQL注入攻击的危害性。
此外,MySQL还可以采取其它一些安全措施,例如安装网站安全防护应用程序,使用https协议,禁止php及相关代码的执行,强制执行MYSQL严格模式等等。
最后,各种Web站点应用及数据库架构,对MySQL注入攻击都具有一定的软肋,必须加强安全防护技术的研究。可以采取严格的权限管理,严防SQL注入攻击,有效防范MySQL注入攻击。