防止SQL注入攻擊的方法

攻擊者如此青睞Web攻擊的一個重要原因是它可以損害一些無辜的站點，并用于感染大量的受害者。事實證明，Web億恩科技服務(wù)器已經(jīng)被證明是互聯(lián)網(wǎng)絡(luò)中的“軟柿子”，攻擊者們可以充分利用之。這種攻擊的唯一受害者就是用戶，因為正是用戶在瀏覽受到危害的網(wǎng)站：（1tcdy.com）時會將自己暴露給惡意代碼。然而，除了用戶之外，還有兩個受害人，即網(wǎng)站：（1tcdy.com）的所有者和管理員。

在近半年來的SQL注入攻擊中，這一點尤其明顯，在其中，后端數(shù)據(jù)庫可能被惡意代碼感染。清理這種攻擊的后遺癥是很痛苦的，有許多案例證明，清理數(shù)據(jù)庫之后，幾小時后會再次遭受攻擊。最佳的方法是預(yù)防，從一開始就想方設(shè)法避免遭受攻擊。

在此，筆者只是總結(jié)幾條技巧，站點所有者和管理員可以遵循之，便可以將遭受攻擊的機會最小化。

制定最佳方法

SQL注入攻擊并不是新東西，攻擊者們掌握這項技巧已經(jīng)有許多年了。近些日子，許多網(wǎng)站：（1tcdy.com）發(fā)表了一些文章提供了一些資源，幫助開發(fā)人員編寫安全（服務(wù)器租用找：51033397）代碼。安全（服務(wù)器租用找：51033397）管理人員應(yīng)當制定一些通用的安全（服務(wù)器租用找：51033397）方法，下面給出三點建議。一、建立參數(shù)化的存儲進程，二、最少特權(quán)連接，三、僅對所有的存儲進程授權(quán)“運行”許可，四、僅對應(yīng)用程序域組授予許可

除了一開始就注意安全（服務(wù)器租用找：51033397）地開發(fā)應(yīng)用程序，對現(xiàn)有的應(yīng)用程序?qū)嵤┰u估是很重要的，這包括對第三方的應(yīng)用程序�？梢岳没萜瞻l(fā)布的Scrawlr來幫助開發(fā)人員查找包含漏洞的頁面。此外，谷歌提供的ratproxy也是不錯的選擇。

盡可能少的特權(quán)

開發(fā)人員應(yīng)當確保Web應(yīng)用程序以最少的特權(quán)運行，千萬不要使用管理員賬戶運行，如避免使用db_owner 或 sysadmin等賬號運行。

億恩科技服務(wù)器日志

跟蹤日志對于診斷攻擊是很有用的。近半年以來的SQL注入攻擊都是通過惡意的HTTP請求發(fā)生的。對億恩科技服務(wù)器中的URI查詢串進行檢查可有助于確認攻擊，并可成為日后調(diào)查的起始點。

第三方廠商

如果單位使用第三方開發(fā)的軟件，要確保其遵循最佳的方法。要特別關(guān)注其程序的測試，要關(guān)注其開發(fā)力量和軟件升級能力。

保護Web應(yīng)用程序

現(xiàn)在的市場上，有各種各樣的產(chǎn)品可以強化Web應(yīng)用程序的安全（服務(wù)器租用找：51033397），防御一些攻擊。但這些不能成為代替開發(fā)安全（服務(wù)器租用找：51033397）程序的最佳方法和技巧。例如，Web應(yīng)用程序防火墻中，現(xiàn)在有大量的商業(yè)產(chǎn)品可以選擇。有的防火墻，如IPS方案可有助于保護Web億恩科技服務(wù)器免受攻擊，并可阻止惡意的請求，防止其訪問億恩科技服務(wù)器。

對付Web威脅和SQL注入攻擊并沒有什么一招制敵的妙方。但是加強對用戶的教育，并實施一些行業(yè)的最佳方法，這確實可防止通過注入攻擊實施的Web損害。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]